Habilitación de las reglas de reducción de la superficie expuesta a ataques en Microsoft Defender para empresas

Las superficies expuestas a ataques son todos los lugares y formas en que la red y los dispositivos de su organización son vulnerables a ciberamenazas y ataques. Los dispositivos no seguros, el acceso sin restricciones a cualquier dirección URL de un dispositivo de la empresa y permitir que cualquier tipo de aplicación o script se ejecute en dispositivos de la empresa son ejemplos de superficies expuestas a ataques. Dejan a tu empresa vulnerable a los ciberataques.

Para ayudar a proteger la red y los dispositivos, Microsoft Defender para empresas incluye varias funcionalidades de reducción de la superficie expuesta a ataques, incluidas las reglas de reducción de la superficie expuesta a ataques. En este artículo se describe cómo configurar las reglas de reducción de superficie expuesta a ataques y se describen las funcionalidades de reducción de superficie expuesta a ataques.

Reglas ASR de protección estándar

Hay muchas reglas de reducción de superficie expuesta a ataques disponibles. No tienes que configurarlas todas a la vez. Además, puede configurar algunas reglas en modo de auditoría solo para ver cómo funcionan para su organización y cambiarlas para que funcionen en modo de bloque más adelante. Dicho esto, se recomienda habilitar las siguientes reglas de protección estándar lo antes posible:

• Bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows
• Bloquear el abuso de controladores firmados vulnerables explotados
• Bloquear la persistencia a través de la suscripción de eventos WMI

Estas reglas ayudan a proteger la red y los dispositivos, pero no deben provocar interrupciones para los usuarios. Use Intune para configurar las reglas de reducción de la superficie expuesta a ataques.

Configuración de reglas de ASR mediante Intune

1. En el Centro de administración de Microsoft Intune, vaya a Seguridad de punto de conexión>Reducción de la superficie expuesta a ataques.

2. Elija Crear directiva para crear una nueva directiva.

   • En Plataforma, elija Windows 10, Windows 11 y Windows Server.
   • En Perfil, seleccione Reglas de reducción de superficie expuesta a ataques y, a continuación, elija Crear.

3. Configure la directiva de la siguiente manera:

   1. Especifique un nombre y una descripción y, a continuación, elija Siguiente.

   2. Para al menos las tres reglas siguientes, establezca cada una en Bloquear:

      • Bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows
      • Bloquear la persistencia a través de la suscripción de eventos WMI
      • Bloquear el abuso de controladores firmados vulnerables explotados

      A continuación, elija Siguiente.

   3. En el paso Etiquetas de ámbito , elija Siguiente.

   4. En el paso Asignaciones , elija los usuarios o dispositivos para recibir las reglas y, a continuación, elija Siguiente. (Se recomienda seleccionar Agregar todos los dispositivos).

   5. En el paso Revisar y crear , revise la información y, a continuación, elija Crear.

Sugerencia

Si lo prefiere, puede configurar las reglas de reducción de la superficie expuesta a ataques en modo de auditoría al principio para ver las detecciones antes de que los archivos o procesos se bloqueen realmente. Para obtener información más detallada sobre las reglas de reducción de superficie expuesta a ataques, consulte Introducción a la implementación de reglas de reducción de superficie expuesta a ataques.

Visualización del informe de reducción de superficie expuesta a ataques

Defender for Business incluye un informe de reducción de superficie expuesta a ataques que muestra cómo funcionan las reglas de reducción de superficie expuesta a ataques.

1. En el portal de Microsoft Defender, en el panel de navegación, elija Informes.

2. En Puntos de conexión, elija Reglas de reducción de superficie expuesta a ataques. El informe se abre e incluye tres pestañas:

   • Detecciones, donde puede ver las detecciones que se produjeron como resultado de las reglas de reducción de superficie expuesta a ataques.
   • Configuración, donde puede ver los datos de las reglas de protección estándar u otras reglas de reducción de superficie expuesta a ataques.
   • Agregue exclusiones, donde puede agregar elementos para excluirlos de las reglas de reducción de la superficie expuesta a ataques (use exclusiones con moderación; cada exclusión reduce el nivel de protección de seguridad)

Para más información sobre las reglas de reducción de superficie expuesta a ataques, consulte los artículos siguientes:

• Introducción a las reglas de reducción de superficie expuesta a ataques
• Informe de reglas de reducción de superficie expuesta a ataques
• Referencia de reglas de reducción de superficie expuesta a ataques
• Introducción a la implementación de reglas de reducción de superficie expuesta a ataques

Capacidades de reducción de superficie expuesta a ataques en Defender for Business

Las reglas de reducción de superficie expuesta a ataques están disponibles en Defender para empresas. En la tabla siguiente se resumen las funcionalidades de reducción de la superficie expuesta a ataques en Defender for Business. Observe cómo otras funcionalidades, como la protección de última generación y el filtrado de contenido web, funcionan junto con las funcionalidades de reducción de la superficie expuesta a ataques.

Funcionalidad	Cómo configurarlo
Reglas de la reducción de la superficie expuesta a ataques Evite que se ejecuten acciones específicas que suelen estar asociadas a actividades malintencionadas en dispositivos Windows.	Habilite las reglas estándar de reducción de superficie expuesta a ataques de protección (sección de este artículo).
Acceso controlado a carpetas El acceso controlado a carpetas solo permite que las aplicaciones de confianza accedan a carpetas protegidas en dispositivos Windows. Piense en esta funcionalidad como mitigación de ransomware.	Configure la directiva de acceso controlado a carpetas en Microsoft Defender para empresas.
Protección de red La protección de red impide que las personas accedan a dominios peligrosos a través de aplicaciones en sus dispositivos Windows y Mac. La protección de red también es un componente clave del filtrado de contenido web en Microsoft Defender para empresas.	La protección de red ya está habilitada de forma predeterminada cuando se incorporan dispositivos a Defender para empresas y se aplican directivas de protección de próxima generación en Defender para empresas . Las directivas predeterminadas están configuradas para usar la configuración de seguridad recomendada.
Protección web La protección web se integra con exploradores web y funciona con protección de red para protegerse frente a amenazas web y contenido no deseado. La protección web incluye el filtrado de contenido web y los informes de amenazas web.	Configure el filtrado de contenido web en Microsoft Defender para empresas.
Protección contra firewalls La protección del firewall determina qué tráfico de red puede fluir hacia o desde los dispositivos de la organización.	La protección del firewall ya está habilitada de forma predeterminada cuando se incorporan dispositivos a Defender para empresas y se aplican directivas de firewall en Defender para empresas .

Siguientes pasos

• Revise la configuración de las características avanzadas y el portal de Microsoft Defender.
• Uso del panel de administración de vulnerabilidades
• Visualización y administración de incidentes
• Ver informes