Protección de aplicaciones de usuario de Essential Eight
Los adversarios suelen dirigirse a estaciones de trabajo que usan sitios web malintencionados, correos electrónicos o medios extraíbles en un intento de extraer información confidencial. La protección de aplicaciones en estaciones de trabajo es una parte importante de la reducción de este riesgo. Debido a su eficacia, la protección de aplicaciones de usuario es una de las 8 esenciales de las estrategias de ACSC para mitigar los incidentes de ciberseguridad.
Los adversarios suelen intentar aprovechar las vulnerabilidades que se encuentran en versiones anteriores y no admitidas de las aplicaciones. Las versiones más recientes de los productos de Microsoft ofrecen mejoras significativas en las características de seguridad, la funcionalidad y proporcionan una mayor estabilidad. A menudo, la falta de características de seguridad mejoradas permite a un adversario poner en peligro fácilmente las versiones anteriores de las aplicaciones. Para reducir este riesgo, se debe usar la versión compatible más reciente de los productos de Microsoft.
Para facilitar la referencia, Intune requiere que se implementen las siguientes directivas para el control asociado:
-
OfficeMacroHardening-PreventActivationofOLE.ps1
- Este script de PowerShell se usa para cumplir los siguientes controles:
-
UserApplicationHardening-RemoveFeatures.ps1
- Este script de PowerShell se usa para cumplir los siguientes controles:
- Internet Explorer está deshabilitado o quitado.
- .NET Framework 3.5 (incluye .NET 2.0 y 3.0) está deshabilitado o quitado.
- Windows PowerShell 2.0 está deshabilitada o eliminada.
- Este script de PowerShell se usa para cumplir los siguientes controles:
-
Directrices de protección de Microsoft Edge de ACSC
- Este perfil de configuración de dispositivo Intune se usa para cumplir los siguientes controles:
- Los exploradores web no procesan anuncios web desde Internet.
- Se implementa la guía de protección de ACSC o proveedor para exploradores web.
- Este perfil de configuración de dispositivo Intune se usa para cumplir los siguientes controles:
-
Directrices de protección de Windows de ACSC: reglas de reducción de superficie expuesta a ataques
- Este perfil de regla Intune reducción de superficie expuesta a ataques de seguridad de punto de conexión se usa para cumplir los siguientes controles:
- Microsoft Office no puede crear procesos secundarios.
- Microsoft Office no puede crear contenido ejecutable.
- Microsoft Office no puede insertar código en otros procesos.
- Este perfil de regla Intune reducción de superficie expuesta a ataques de seguridad de punto de conexión se usa para cumplir los siguientes controles:
Java no está instalado de forma predeterminada en Windows 10 o Windows 11.
Control ISM sep 2024 | Mitigación |
---|---|
1486 | Java no está instalado de forma predeterminada en Windows 10 o Windows 11. |
Todas las opciones de configuración disponibles para deshabilitar los anuncios en Microsoft Edge se configuran al implementar la línea base de seguridad de Microsoft Edge y la protección de ACSC para Microsoft Edge.
Se pueden lograr más bloqueos mediante extensiones de terceros para Microsoft Edge, filtrado de red en la puerta de enlace o uso de un servicio DNS protegido. Sin embargo, la implementación de estos elementos está fuera del ámbito de este documento.
Control ISM sep 2024 | Mitigación |
---|---|
1485 | La directiva "Configuración de anuncios para sitios con anuncios intrusivos" se ha configurado en Habilitar. |
Internet Explorer 11 no está presente en Windows 11.
El 15 de junio de 2022, Microsoft retiró Internet Explorer 11. Para una organización que todavía requiere Internet Explorer para la compatibilidad heredada, el modo Internet Explorer (modo IE) en Microsoft Edge proporciona una experiencia de explorador único sin problemas. Los usuarios pueden acceder a aplicaciones heredadas desde Microsoft Edge sin tener que volver a Internet Explorer 11.
Una vez que el administrador ha configurado el modo IE, las organizaciones pueden deshabilitar Internet Explorer 11 como explorador independiente. Se quitan los iconos de Internet Explorer 11 en el menú Inicio y en la barra de tareas. Los usuarios se redirigen a Microsoft Edge al intentar iniciar accesos directos o asociaciones de archivos que usan Internet Explorer 11 o al invocar directamente el iexplore.exe binario.
Para configurar Internet Explorer para que se abra directamente en Microsoft Edge para sitios web específicos, configure directivas de modo IE. Para obtener más información, vea Configurar directivas de modo IE.
Para usar Intune para deshabilitar Internet Explorer 11 como explorador independiente para dispositivos Windows 10:
- Cree una nueva directiva de catálogo de configuración.
- Busque por categoría y busque: Deshabilite Internet Explorer 11 como explorador independiente (usuario).
- Vaya a *Plantillas administrativas\Componentes de Windows\Internet Explorer y seleccione la configuración: Deshabilitar Internet Explorer 11 como explorador independiente (usuario).
- Habilite la opción Deshabilitar Internet Explorer 11 como explorador independiente (usuario).
- Implemente la directiva en un conjunto de dispositivos o usuarios.
Además, para quitar por completo Internet Explorer 11:
- Agregue el UserApplicationHardening-RemoveFeatures.ps1como script de PowerShell con las siguientes opciones:
- Ejecute este script con las credenciales iniciadas: No
- Aplicar comprobación de firma de script: No
- Ejecución de un script en un host de PowerShell de 64 bits: No
- Asigne el script a un grupo de implementación.
Nota
Este script también deshabilita .NET Framework 3.5 (incluye .NET 2.0 y 3.0) y Windows PowerShell 2.0.
Control ISM sep 2024 | Mitigación |
---|---|
1666 | La directiva "Configurar la lista de sitios del modo de empresa" está configurada con una lista de sitios web específicos de la organización. Internet Explorer 11 se ha quitado mediante la directiva "Deshabilitar Internet Explorer 11 como explorador independiente" configurada como Habilitar o eliminada mediante el uso de un script. |
Impedir que Microsoft Office cree procesos secundarios se puede realizar a través de una directiva de seguridad de puntos de conexión de reducción de superficie expuesta a ataques (ASR), implementada a través de Intune.
Microsoft ha puesto a disposición una implementación Intune de la guía de protección de Windows de ACSC en GitHub. Laregla ASR para impedir que Microsoft Office cree procesos secundarios se incluye en esta guía.
Para implementar la creación de bloqueos de procesos secundarios:
- Vaya al Explorador de Graph y autentíquese.
- Cree una solicitud POST con el esquema beta para el punto de conexión de la directiva de reducción de superficie expuesta a ataques: https://graph.microsoft.com/beta/deviceManagement/templates/0e237410-1367-4844-bd7f-15fb0f08943b/createInstance.
- Copie el json en la directiva acsc windows hardening Guidelines-Attack surface reduction y péguelo en el cuerpo de la solicitud.
- (Opcional) modifique el valor del nombre si es necesario.
Esta directiva de seguridad de punto de conexión de ASR contiene la regla de ASR específica: impedir que todas las aplicaciones de Office creen procesos secundarios (D4F940AB-401B-4EFC-AADC-AD5F3C50688A).
Nota
Al importar este perfil de regla de ASR, Microsoft Office no puede crear contenido ejecutable (3B576869-A4EC-4529-8536-B80A7769E899) e insertar código en otro proceso (75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84).
Nota
Esta directiva de reducción de superficie expuesta a ataques (ASR) configura cada una de las reglas de ASR recomendadas por ACSC en modo de auditoría. Las reglas de ASR deben probarse para detectar problemas de compatibilidad en cualquier entorno antes de la aplicación.
Control ISM sep 2024 | Mitigación |
---|---|
1667 | Se ha habilitado la regla ASR "Impedir que todas las aplicaciones de Office creen procesos secundarios". |
Impedir que Microsoft Office cree procesos secundarios (3B576869-A4EC-4529-8536-B80A7769E899) se puede realizar mediante una directiva de seguridad de puntos de conexión de reducción de superficie expuesta a ataques (ASR), implementada a través de Intune.
Control ISM sep 2024 | Mitigación |
---|---|
1668 | Se ha habilitado la regla ASR "Impedir que las aplicaciones de Office creen contenido ejecutable". |
Impedir que Microsoft Office cree procesos secundarios (75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84) se puede realizar mediante una directiva de seguridad de puntos de conexión de reducción de superficie expuesta a ataques (ASR), implementada a través de Intune.
Control ISM sep 2024 | Mitigación |
---|---|
1669 | Se ha habilitado la regla ASR "Impedir que las aplicaciones de Office inserten código en otros procesos". |
Implemente el script de PowerShell OfficeMacroHardening-PreventActivationofOLE.ps1para importar las claves del Registro que bloquean la activación de paquetes OLE en Excel, PowerPoint y Word.
Para implementar la prevención de la activación de paquetes OLE:
- Agregue OfficeMacroHardening-PreventActivationofOLE.ps1como script de PowerShell con las siguientes opciones:
- Ejecute este script con las credenciales iniciadas: Sí
- Aplicar comprobación de firma de script: No
- Ejecución de un script en un host de PowerShell de 64 bits: No
- Asigne el script a un grupo de implementación.
Nota
Este script de PowerShell es específicamente para Office 2016 y versiones posteriores. Aquí se proporciona un script para evitar la activación de OLE para Office 2013: OfficeMacroHardening-PreventActivationofOLE-Office2013.ps1.
El script no está firmado. Si necesita firmar scripts, revise la siguiente documentación para firmar el script de modo que se pueda ejecutar en los dispositivos Windows: Métodos de firma de scripts y cambie la comprobación Aplicar firma de script a: Sí
Control ISM sep 2024 | Mitigación |
---|---|
1542 | Se ha evitado la activación de paquetes OLE a través de un script. |
Microsoft Edge está configurado como visor de PDF predeterminado en Windows 10 y Windows 11. La visualización de PDF se puede reforzar aún más con las directivas incluidas para ACSC o la guía de protección de proveedores para exploradores web.
Como alternativa, si su organización usa Adobe Reader como software PDF predeterminado, configure la regla de reducción de superficie expuesta a ataques adecuada para impedir que Adobe Reader cree procesos secundarios mediante los pasos siguientes:
- En Intune, vaya aReducción de superficie expuesta a ataques de seguridad > de punto de conexión.
- Cree (o modifique) una nueva directiva de seguridad de punto de conexión de reducción de superficie expuesta a ataques.
- Establezca Bloquear Adobe Reader para que no cree procesos secundarios en Habilitar.
- Asigne la directiva Regla de reducción de superficie expuesta a ataques a un grupo.
Control ISM sep 2024 | Mitigación |
---|---|
1670 | Se ha habilitado la regla ASR "Impedir que Adobe Reader cree procesos secundarios". |
Microsoft Edge está instalado de forma predeterminada en Windows 10 y Windows 11 y es el explorador web recomendado. Microsoft Edge es el explorador predeterminado y el visor de PDF, a menos que se configure lo contrario.
Microsoft y ACSC han proporcionado instrucciones y directivas específicas para proteger Microsoft Edge. Ambos conjuntos de instrucciones deben implementarse simultáneamente.
Para implementar la línea base de seguridad:
- Vaya aLíneas base> de seguridad de seguridad> de punto de conexiónLínea base de Microsoft Edge.
- Para crear una nueva línea base de Microsoft Edge, seleccione Crear perfil.
- Revise la configuración y asigne la línea base de seguridad a un grupo.
Para implementar instrucciones de protección:
- Guarde la directiva AcsC Microsoft Edge Hardening Guidelines (Directrices de protección de Microsoft Edge de ACSC ) en el dispositivo local.
- Vaya a la consola de Microsoft Intune.
- Importar una directiva, en Dispositivos > Perfiles > de configuración de Windows > Crear > directiva de importación
- Asigne un nombre a la directiva, seleccione Buscar archivos en Archivo de directiva y vaya a la directiva guardada en el paso 1.
- Seleccione Guardar.
Nota
Microsoft también ha publicado directivas de Intune que se han elaborado para ayudar a las organizaciones a cumplir las directrices de protección Windows 10 del Centro australiano de ciberseguridad (ACSC). Las directivas de protección recomendadas por ACSC para Microsoft Edge también se incluyen en estas directivas.
Control ISM sep 2024 | Mitigación |
---|---|
1412, 1860 | - Implementación de la línea base de seguridad de Microsoft Edge - Implemente la guía de protección de Microsoft Edge de ACSC. |
Microsoft Apps para empresas protegidas con la configuración recomendada para proteger Microsoft 365, Office 2021, Office 2019 y Office 2016 de ACSC, como parte del pilar Essential 8 Configure Microsoft Office macro settings (Configuración esencial de la macro de Microsoft Office 8).
Control ISM sep 2024 | Mitigación |
---|---|
1859 | Implemente las directrices de protección de Office de ACSC. |
Los usuarios no pueden cambiar la configuración de seguridad del explorador web, microsoft Office y el software PDF
Cuando las directivas proporcionadas en este documento se implementan a través de Intune, la configuración que contienen las directivas se aplica y los usuarios estándar no pueden cambiarlas.
Control ISM sep 2024 | Mitigación |
---|---|
1585 | Cuando las directivas proporcionadas en este documento se implementan a través de Intune, la configuración que contienen las directivas se aplica y los usuarios estándar no pueden cambiarlas. |
La implementación del script de PowerShellUserApplicationHardening-RemoveFeatures.ps1 desactiva la característica .NET Framework 3.5 (incluye .NET 2.0 y 3.0), si está instalada.
Control ISM sep 2024 | Mitigación |
---|---|
ISM-1655 | .NET Framework 3.5 (incluye .NET 2.0 y 3.0) está deshabilitado o quitado. |
La implementación del script de PowerShell UserApplicationHardening-RemoveFeatures.ps1 desactiva la característica Windows PowerShell 2.0, si está instalada.
Control ISM sep 2024 | Mitigación |
---|---|
1612 | Windows PowerShell 2.0 se deshabilita o se quita mediante el script proporcionado. |
El modo de lenguaje restringido está habilitado como parte del documento estrategia de mitigación de control de aplicaciones de ocho esenciales.
Las ejecuciones de scripts de PowerShell bloqueadas se registran y protegen de forma centralizada frente a modificaciones y eliminaciones no autorizadas, se supervisan para detectar signos de peligro y se realizan acciones cuando se detectan eventos de ciberseguridad.
Microsoft Defender para punto de conexión (MDE) se puede usar para obtener y conservar registros de puntos de conexión que se pueden usar para la detección de eventos de ciberseguridad.
La ejecución de scripts se puede auditar de forma nativa en Microsoft Defender para punto de conexión búsqueda avanzada. Microsoft Defender para punto de conexión funcionalidad de búsqueda avanzada registra varios eventos de Control de aplicaciones, incluido el identificador de evento 8029, que informa sobre scripts bloqueados o scripts que se aplican para ejecutarse en modo de lenguaje restringido.
Como alternativa, se puede usar el reenvío de eventos WDAC para supervisarlos en una solución de supervisión de terceros.
Referencias:
Descripción de los identificadores de eventos de Application Control (Windows): seguridad de | WindowsConsulta de eventos de Control de aplicaciones con búsqueda avanzada (Windows): seguridad de Windows
Intune se puede usar para incorporar dispositivos sin problemas a MDE.
Al igual que con las ejecuciones de scripts de PowerShell bloqueadas, los eventos de creación de procesos de línea de comandos que son precursores para las indicaciones de peligro se recopilan cuando un dispositivo se inscribe en Defender para punto de conexión. Los eventos se pueden ver en el portal de Defender para punto de conexión, en la página del dispositivo en Escala de tiempo.
Detalles de implementación para la incorporación de puntos de conexión a Microsoft Defender para punto de conexión
Para implementar puntos de conexión de incorporación en MDE:
- Cree un nuevo perfil de configuración de Windows con un tipo de plantilla>Microsoft Defender para punto de conexión (dispositivos de escritorio que ejecutan Windows 10 o posterior).
- Establezca Acelerar la frecuencia de informes de telemetría en Habilitar.
- Asigne la directiva a un grupo de implementación.
Una vez que los dispositivos se incorporan a MDE, las ejecuciones de PowerShell se capturan para su revisión y se pueden realizar acciones si es necesario. Para obtener más información, consulte Realizar acciones de respuesta en un dispositivo en Microsoft Defender para punto de conexión.
Control ISM sep 2024 | Mitigación |
---|---|
1664, 1665, 1405 | Defender para punto de conexión captura los identificadores de evento de Control de aplicaciones cuando los dispositivos están inscritos en Defender para punto de conexión. |
1899 | Defender para punto de conexión captura los eventos de creación de procesos de línea de comandos que son precursores de indicaciones de peligro cuando los dispositivos se inscriben en Defender para punto de conexión. |