Evaluación de la protección contra vulnerabilidades de seguridad

Se aplica a:

• Microsoft Defender para punto de conexión Plan 1
• Microsoft Defender para punto de conexión Plan 2
• Microsoft Defender XDR

¿Quiere experimentar Microsoft Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

Protección contra vulnerabilidades ayuda a proteger los dispositivos del malware que usa vulnerabilidades de seguridad para propagar e infectar otros dispositivos. La mitigación se puede aplicar al sistema operativo o a una aplicación individual. Muchas de las características que formaban parte de Enhanced Mitigation Experience Toolkit (EMET) se incluyen en Protección contra vulnerabilidades. (EMET ha llegado al final del soporte técnico).

En la auditoría, puede ver cómo funciona la mitigación para determinadas aplicaciones en un entorno de prueba. Esto muestra lo que habría ocurrido si hubiese habilitado Protección contra vulnerabilidades en el entorno de producción. De este modo, puede comprobar que Protección contra vulnerabilidades no afecta negativamente a las aplicaciones de línea de negocio y ver qué eventos sospechosos o malintencionados se producen.

Habilitar Protección contra vulnerabilidades para las pruebas

Puede establecer mitigaciones en un modo de pruebas para programas específicos mediante la aplicación Seguridad de Windows o Windows PowerShell.

Aplicación Seguridad de Windows

1. Abra la aplicación Seguridad de Windows. Seleccione el icono de escudo en la barra de tareas o busque Seguridad de Windows en el menú Inicio.

2. Seleccione el icono Control de aplicaciones y navegador (o el icono de la aplicación en la barra de menús de la izquierda) y seleccione Protección contra vulnerabilidades.

3. Vaya a Configuración del programa y elija la aplicación a la que quiere aplicar la protección:

   1. Si la aplicación que quiere configurar ya aparece en la lista, selecciónela y seleccione Editar.
   2. Si la aplicación no aparece en la parte superior de la lista, seleccione Agregar programa para personalizar. Después, elija cómo quiere agregar la aplicación.
      • Use Agregar por nombre de programa para aplicar la mitigación a cualquier proceso en ejecución con ese nombre. Especifique un archivo con una extensión. Puede escribir una ruta de acceso completa para limitar la mitigación solo a la aplicación con ese nombre en esa ubicación.
      • Use Elegir la ruta de acceso exacta de un archivo para usar una ventana estándar del selector de archivos de Explorador de Windows para buscar y seleccionar el archivo que quiera.

4. Después de seleccionar la aplicación, verá una lista de todas las mitigaciones que se pueden aplicar. Al elegir Auditar , solo se aplicará la mitigación en modo de prueba. Se le notificará si necesita reiniciar el proceso, la aplicación o Windows.

5. Repita este procedimiento para todas las aplicaciones y mitigaciones que quiera configurar. Seleccione Aplicar cuando haya terminado de establecer la configuración.

PowerShell

Para establecer mitigaciones de nivel de aplicación en modo de prueba, use Set-ProcessMitigation con el cmdlet Audit mode .

Configure cada mitigación en el formato siguiente:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

Donde:

• <Ámbito>:
  • -Name para indicar que las mitigaciones se deben aplicar a una aplicación específica. Especifique el ejecutable de la aplicación después de esta marca.
• <Acción>:
  • -Enable para habilitar la mitigación
    • -Disable para deshabilitar la mitigación
• <Mitigación>:
  • Cmdlet de mitigación tal y como se define en la tabla siguiente. Cada mitigación se separa con una coma.

Mitigación	Cmdlet del modo de prueba
Protección de código arbitrario (ACG)	AuditDynamicCode
Bloquear imágenes de integridad baja	AuditImageLoad
Bloquear fuentes que no son de confianza	AuditFont, FontAuditOnly
Protección de integridad de código	AuditMicrosoftSigned, AuditStoreSigned
Deshabilitar llamadas del sistema de Win32k	AuditSystemCall
No permitir bloqueo de procesos secundarios	AuditChildProcess

Por ejemplo, para habilitar Arbitrary Code Guard (ACG) en modo de prueba para una aplicación denominada testing.exe, ejecute el siguiente comando:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode

Puede deshabilitar el modo de auditoría reemplazando -Enable por -Disable.

Revisar eventos de auditoría de protección contra vulnerabilidades

Para revisar qué aplicaciones se habrían bloqueado, abra Visor de eventos y filtre los siguientes eventos en el registro de mitigaciones de seguridad.

Característica	Proveedor u origen	Id. de evento	Descripción
Protección contra vulnerabilidades de seguridad	Mitigaciones de seguridad (modo kernel/modo de usuario)	1	Auditoría de ACG
Protección contra vulnerabilidades de seguridad	Mitigaciones de seguridad (modo kernel/modo de usuario)	3	No permitir procesos secundarios de auditoría
Protección contra vulnerabilidades de seguridad	Mitigaciones de seguridad (modo kernel/modo de usuario)	5	Bloquear auditoría de imágenes de integridad baja
Protección contra vulnerabilidades de seguridad	Mitigaciones de seguridad (modo kernel/modo de usuario)	7	Bloquear auditoría de imágenes remota
Protección contra vulnerabilidades de seguridad	Mitigaciones de seguridad (modo kernel/modo de usuario)	9	Deshabilitar auditoría de llamadas del sistema de Win32k
Protección contra vulnerabilidades de seguridad	Mitigaciones de seguridad (modo kernel/modo de usuario)	11	Auditoría de protección de integridad de código

Vea también

• Habilitar la protección contra vulnerabilidades de seguridad
• Configurar y auditar mitigaciones de protección contra vulnerabilidades de seguridad
• Importar, exportar e implementar configuraciones de protección de vulnerabilidades de seguridad
• Solución de problemas de protección contra vulnerabilidades de seguridad

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.