Habilitación de las reglas de reducción de la superficie expuesta a ataques en Microsoft Defender para empresas
Las superficies expuestas a ataques son todos los lugares y formas en que la red y los dispositivos de su organización son vulnerables a ciberamenazas y ataques. Los dispositivos no seguros, el acceso sin restricciones a cualquier dirección URL de un dispositivo de la empresa y permitir que cualquier tipo de aplicación o script se ejecute en dispositivos de la empresa son ejemplos de superficies expuestas a ataques. Dejan a tu empresa vulnerable a los ciberataques.
Para ayudar a proteger la red y los dispositivos, Microsoft Defender para empresas incluye varias funcionalidades de reducción de la superficie expuesta a ataques, incluidas las reglas de reducción de la superficie expuesta a ataques. En este artículo se describe cómo configurar las reglas de reducción de superficie expuesta a ataques y se describen las funcionalidades de reducción de superficie expuesta a ataques.
Hay muchas reglas de reducción de superficie expuesta a ataques disponibles. No tienes que configurarlas todas a la vez. Además, puede configurar algunas reglas en modo de auditoría solo para ver cómo funcionan para su organización y cambiarlas para que funcionen en modo de bloque más adelante. Dicho esto, se recomienda habilitar las siguientes reglas de protección estándar lo antes posible:
- Bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows
- Bloquear el abuso de controladores firmados vulnerables explotados
- Bloquear la persistencia a través de la suscripción de eventos WMI
Estas reglas ayudan a proteger la red y los dispositivos, pero no deben provocar interrupciones para los usuarios. Use Intune para configurar las reglas de reducción de la superficie expuesta a ataques.
En el Centro de administración de Microsoft Intune, vaya a Seguridad de punto de conexión>Reducción de la superficie expuesta a ataques.
Elija Crear directiva para crear una nueva directiva.
- En Plataforma, elija Windows 10, Windows 11 y Windows Server.
- En Perfil, seleccione Reglas de reducción de superficie expuesta a ataques y, a continuación, elija Crear.
Configure la directiva de la siguiente manera:
Especifique un nombre y una descripción y, a continuación, elija Siguiente.
Para al menos las tres reglas siguientes, establezca cada una en Bloquear:
- Bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows
- Bloquear la persistencia a través de la suscripción de eventos WMI
- Bloquear el abuso de controladores firmados vulnerables explotados
A continuación, elija Siguiente.
En el paso Etiquetas de ámbito , elija Siguiente.
En el paso Asignaciones , elija los usuarios o dispositivos para recibir las reglas y, a continuación, elija Siguiente. (Se recomienda seleccionar Agregar todos los dispositivos).
En el paso Revisar y crear , revise la información y, a continuación, elija Crear.
Sugerencia
Si lo prefiere, puede configurar las reglas de reducción de la superficie expuesta a ataques en modo de auditoría al principio para ver las detecciones antes de que los archivos o procesos se bloqueen realmente. Para obtener información más detallada sobre las reglas de reducción de superficie expuesta a ataques, consulte Introducción a la implementación de reglas de reducción de superficie expuesta a ataques.
Defender for Business incluye un informe de reducción de superficie expuesta a ataques que muestra cómo funcionan las reglas de reducción de superficie expuesta a ataques.
En el portal de Microsoft Defender, en el panel de navegación, elija Informes.
En Puntos de conexión, elija Reglas de reducción de superficie expuesta a ataques. El informe se abre e incluye tres pestañas:
- Detecciones, donde puede ver las detecciones que se produjeron como resultado de las reglas de reducción de superficie expuesta a ataques.
- Configuración, donde puede ver los datos de las reglas de protección estándar u otras reglas de reducción de superficie expuesta a ataques.
- Agregue exclusiones, donde puede agregar elementos para excluirlos de las reglas de reducción de la superficie expuesta a ataques (use exclusiones con moderación; cada exclusión reduce el nivel de protección de seguridad)
Para más información sobre las reglas de reducción de superficie expuesta a ataques, consulte los artículos siguientes:
- Introducción a las reglas de reducción de superficie expuesta a ataques
- Informe de reglas de reducción de superficie expuesta a ataques
- Referencia de reglas de reducción de superficie expuesta a ataques
- Introducción a la implementación de reglas de reducción de superficie expuesta a ataques
Las reglas de reducción de superficie expuesta a ataques están disponibles en Defender para empresas. En la tabla siguiente se resumen las funcionalidades de reducción de la superficie expuesta a ataques en Defender for Business. Observe cómo otras funcionalidades, como la protección de última generación y el filtrado de contenido web, funcionan junto con las funcionalidades de reducción de la superficie expuesta a ataques.
Funcionalidad | Cómo configurarlo |
---|---|
Reglas de la reducción de la superficie expuesta a ataques Evite que se ejecuten acciones específicas que suelen estar asociadas a actividades malintencionadas en dispositivos Windows. |
Habilite las reglas estándar de reducción de superficie expuesta a ataques de protección (sección de este artículo). |
Acceso controlado a carpetas El acceso controlado a carpetas solo permite que las aplicaciones de confianza accedan a carpetas protegidas en dispositivos Windows. Piense en esta funcionalidad como mitigación de ransomware. |
Configure la directiva de acceso controlado a carpetas en Microsoft Defender para empresas. |
Protección de red La protección de red impide que las personas accedan a dominios peligrosos a través de aplicaciones en sus dispositivos Windows y Mac. La protección de red también es un componente clave del filtrado de contenido web en Microsoft Defender para empresas. |
La protección de red ya está habilitada de forma predeterminada cuando se incorporan dispositivos a Defender para empresas y se aplican directivas de protección de próxima generación en Defender para empresas . Las directivas predeterminadas están configuradas para usar la configuración de seguridad recomendada. |
Protección web La protección web se integra con exploradores web y funciona con protección de red para protegerse frente a amenazas web y contenido no deseado. La protección web incluye el filtrado de contenido web y los informes de amenazas web. |
Configure el filtrado de contenido web en Microsoft Defender para empresas. |
Protección contra firewalls La protección del firewall determina qué tráfico de red puede fluir hacia o desde los dispositivos de la organización. |
La protección del firewall ya está habilitada de forma predeterminada cuando se incorporan dispositivos a Defender para empresas y se aplican directivas de firewall en Defender para empresas . |