Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Las superficies expuestas a ataques son todos los lugares y formas en que la red y los dispositivos de su organización son vulnerables a los ataques. Por ejemplo:
- Dispositivos no seguros.
- Acceso sin restricciones a las direcciones URL de los dispositivos de la empresa.
- Ejecución sin restricciones de aplicaciones o scripts en dispositivos de la empresa.
Para ayudar a proteger la red y los dispositivos, Microsoft Defender para Empresas incluye varias funcionalidades de reducción de la superficie expuesta a ataques, incluidas las reglas de reducción de la superficie expuesta a ataques (ASR). En este artículo se describe cómo configurar las reglas de reducción de superficie expuesta a ataques y se describen las funcionalidades de reducción de superficie expuesta a ataques.
Standard reglas ASR de protección
Hay muchas reglas de reducción de superficie expuesta a ataques disponibles. No tienes que configurarlas todas a la vez. Además, puede configurar algunas reglas en modo de auditoría solo para ver cómo funcionan para su organización y cambiarlas para que funcionen en modo de bloque más adelante. Dicho esto, se recomienda habilitar las siguientes reglas de protección estándar lo antes posible:
- Bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows
- Bloquear el abuso de controladores firmados vulnerables explotados
- Bloquear la persistencia a través de la suscripción de eventos WMI
Estas reglas ayudan a proteger la red y los dispositivos, pero no deben provocar interrupciones para los usuarios. Usa Intune para configurar las reglas de reducción de superficie expuesta a ataques.
Configuración de reglas de ASR mediante Intune
En el centro de administración de Microsoft Intune, vaya aReducción de la superficie expuesta a ataques de seguridad > del punto de conexión.
Elija Crear directiva para crear una nueva directiva.
- En Plataforma, elija Windows 10, Windows 11 y Windows Server.
- En Perfil, seleccione Reglas de reducción de superficie expuesta a ataques y, a continuación, elija Crear.
Configure la directiva de la siguiente manera:
Especifique un nombre y una descripción y, a continuación, elija Siguiente.
Para al menos las tres reglas siguientes, establezca cada una en Bloquear:
- Bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows
- Bloquear la persistencia a través de la suscripción de eventos WMI
- Bloquear el abuso de controladores firmados vulnerables explotados
A continuación, elija Siguiente.
En el paso Etiquetas de ámbito , elija Siguiente.
En el paso Asignaciones , elija los usuarios o dispositivos para recibir las reglas y, a continuación, elija Siguiente. (Se recomienda seleccionar Agregar todos los dispositivos).
En el paso Revisar y crear , revise la información y, a continuación, elija Crear.
Sugerencia
Inicialmente, puede configurar reglas en modo de auditoría para ver las detecciones sin bloquear realmente los procesos o archivos. Para obtener más información sobre las reglas de reducción de superficie expuesta a ataques, consulte Introducción a la implementación de reglas de reducción de superficie expuesta a ataques.
Visualización del informe de reducción de superficie expuesta a ataques
Defender para Empresas incluye un informe de reducción de superficie expuesta a ataques que muestra cómo funcionan las reglas de reducción de superficie expuesta a ataques.
En el portal de Microsoft Defender, en el panel de navegación, elija Informes.
En Puntos de conexión, elija Reglas de reducción de superficie expuesta a ataques. El informe se abre e incluye tres pestañas:
- Detecciones, donde puede ver las detecciones que se produjeron como resultado de las reglas de reducción de superficie expuesta a ataques.
- Configuración, donde puede ver los datos de las reglas de protección estándar u otras reglas de reducción de superficie expuesta a ataques.
- Agregue exclusiones, donde puede agregar elementos para excluirlos de las reglas de reducción de la superficie expuesta a ataques (use exclusiones con moderación; cada exclusión reduce el nivel de protección de seguridad)
Para más información sobre las reglas de reducción de superficie expuesta a ataques, consulte los artículos siguientes:
- Introducción a las reglas de reducción de superficie expuesta a ataques
- Informe de reglas de reducción de superficie expuesta a ataques
- Referencia de reglas de reducción de superficie expuesta a ataques
- Introducción a la implementación de reglas de reducción de superficie expuesta a ataques
Capacidades de reducción de superficie expuesta a ataques en Defender para Empresas
Las reglas de reducción de superficie expuesta a ataques están disponibles en Defender para Empresas. En la tabla siguiente se resumen las funcionalidades de reducción de superficie expuesta a ataques en Defender para Empresas. Observe cómo otras funcionalidades, como la protección de última generación y el filtrado de contenido web, funcionan junto con las funcionalidades de reducción de la superficie expuesta a ataques.
| Funcionalidad | Cómo configurarlo |
|---|---|
|
Reglas de la reducción de la superficie expuesta a ataques Evite que se ejecuten acciones específicas asociadas con actividades malintencionadas en dispositivos Windows. |
Habilite las reglas estándar de reducción de superficie expuesta a ataques de protección (sección de este artículo). |
|
Acceso controlado a carpetas Permitir que solo las aplicaciones de confianza accedan a carpetas protegidas en dispositivos Windows. Piense en esta funcionalidad como mitigación de ransomware. |
Configure la directiva de acceso controlado a carpetas en Microsoft Defender para Empresas. |
|
Protección de red Impedir que los usuarios accedan a dominios peligrosos a través de aplicaciones en sus dispositivos Windows y Mac. La protección de red también es un componente clave del filtrado de contenido web. |
Se habilita de forma predeterminada cuando los dispositivos se incorporan a Defender para Empresas y se aplican directivas de protección de próxima generación. Las directivas predeterminadas se configuran con la configuración de seguridad recomendada. |
|
Protección web Se integra con exploradores web y funciona con protección de red para protegerse frente a amenazas web y contenido no deseado. La protección web incluye el filtrado de contenido web y los informes de amenazas web. |
Configure el filtrado de contenido web en Microsoft Defender para Empresas. |
|
Protección del firewall Determina el tráfico de red permitido para fluir hacia o desde los dispositivos de la organización. |
Se habilita de forma predeterminada cuando los dispositivos se incorporan a Defender para Empresas y se aplican directivas de firewall en Defender para Empresas. |