Configuración de reglas y exclusiones de reducción de superficie expuesta a ataques (ASR)

Las reglas de reducción de superficie expuesta a ataques (ASR) tienen como destino un comportamiento de software de riesgo en dispositivos Windows que los atacantes suelen aprovechar a través de malware (por ejemplo, iniciar scripts que descargan archivos, ejecutar scripts ofuscados e insertar código en otros procesos). En este artículo se describe cómo habilitar y configurar reglas de ASR.

Para obtener mejores resultados, use soluciones de administración de nivel empresarial como Microsoft Intune o Microsoft Configuration Manager para administrar las reglas de ASR. La configuración de la regla ASR de Intune o Administrador de configuración sobrescribir cualquier configuración en conflicto de la directiva de grupo o PowerShell al iniciarse.

Requisitos previos

Para obtener más información, vea Requisitos para las reglas de ASR.

Configuración de reglas de ASR en Microsoft Intune

Microsoft Intune es la herramienta recomendada para configurar y distribuir directivas de regla ASR a los dispositivos. Requiere Plan 1 de Microsoft Intune (incluido en suscripciones como Microsoft 365 E3 o disponible como complemento independiente).

En Intune, las directivas de seguridad de punto de conexión son el método recomendado para implementar reglas de ASR, aunque otros métodos también están disponibles en Intune como se describe en las subsecciones siguientes.

Configuración de reglas y exclusiones de ASR en Intune mediante directivas de seguridad de punto de conexión

Para configurar reglas de ASR mediante una directiva de reducción de superficie de ataque de seguridad de punto de conexión Microsoft Intune, consulte Creación de una directiva de seguridad de punto de conexión (se abre en una pestaña nueva en la documentación de Intune). Al crear la directiva, use esta configuración:

Importante

Microsoft Defender para punto de conexión administración solo admite objetos de dispositivo. No se admite la segmentación de usuarios. Asigne la directiva a Microsoft Entra grupos de dispositivos, no a grupos de usuarios.

• Tipo de directiva: reducción de la superficie expuesta a ataques
• Plataforma: Windows
• Perfil: Reglas de reducción de superficie expuesta a ataques
• Configuración:

  • Reducción de la superficie expuesta a ataques: normalmente, puede habilitar las reglas de protección estándar en el modo Bloquear o Advertir sin realizar pruebas. Debe probar otras reglas de ASR en modo auditoría antes de cambiarlas al modo Bloquear o Advertir . Para obtener más información, consulte la guía de implementación de reglas de ASR.

    Después de establecer el modo de regla en Auditar, Bloquear o Advertir, aparece una sección asr solo por exclusiones de reglas donde puede especificar exclusiones que solo se aplican a esa regla.

  • Solo exclusiones de reducción de superficie expuesta a ataques: use esta sección para especificar exclusiones que se aplican a todas las reglas de ASR.

    Para especificar exclusiones de reglas por ASR o exclusiones globales de reglas de ASR, use cualquiera de los métodos siguientes:

    • Seleccione Agregar. En el cuadro que aparece, escriba la ruta de acceso o la ruta de acceso y el nombre de archivo que se va a excluir. Por ejemplo:

      • C:\folder
      • %ProgramFiles%\folder\file.exe C:\path

    • Seleccione Importar para importar un archivo CSV que contenga los nombres de archivos y carpetas que se van a excluir. El archivo CSV usa el formato siguiente:

      AttackSurfaceReductionOnlyExclusions
      "C:\folder"
      "%ProgramFiles%\folder\file.exe"
      "C:\path"
      ...
      

      Sugerencia

      Las comillas dobles alrededor de los valores son opcionales y se omiten (no se usan en los valores) si se incluyen. No use comillas simples alrededor de los valores.

    Para obtener más información sobre las exclusiones, consulte Exclusiones de archivos y carpetas para reglas de ASR.

  • Habilitación del acceso controlado a carpetas, Acceso controlado a carpetas protegidas y Acceso controlado a las aplicaciones permitidas: para obtener más información, consulte Protección de carpetas importantes con acceso controlado a carpetas.

Configuración de reglas de ASR en Intune mediante perfiles personalizados con OMA-URIs y CSP

Aunque se recomiendan directivas de seguridad de puntos de conexión, también puede configurar reglas de ASR en Intune mediante perfiles personalizados que contengan perfiles de Open Mobile Alliance – Uniform Resource (OMA-URI) mediante un proveedor de servicios de configuración de directivas de Windows (CSP).

Para obtener información general sobre OMA-URIs en Intune, consulte Implementación de OMA-URIs para dirigirse a un CSP a través de Intune y una comparación con el entorno local.

1. En el centro de administración de Microsoft Intune en https://intune.microsoft.com, seleccione Dispositivos>Administrar dispositivos>Configuración. O bien, para ir directamente a los dispositivos | Página de configuración , use https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/DevicesMenu/~/configuration.

2. En la pestaña Directivas de dispositivos | Página Configuración , seleccione Crear>nueva directiva.

   

3. En el control flotante Crear un perfil que se abre, configure los siguientes valores:

   • Plataforma: seleccione Windows 10 y posteriores.
   • Tipo de perfil: seleccione Plantillas.
     • En la sección Nombre de plantilla que aparece, seleccione Personalizado.

   Seleccione Crear.

   

4. Se abre el asistente para plantillas personalizadas. En la pestaña Aspectos básicos , configure los siguientes valores:

   • Nombre: escriba un nombre único para la plantilla.
   • Descripción: escriba una descripción opcional.

   Cuando haya terminado en la pestaña Aspectos básicos , seleccione Siguiente.

5. En la pestaña Configuración , seleccione Agregar.

   

   En el control flotante Agregar fila que se abre, configure los siguientes valores:

   • Nombre: escriba un nombre único para la regla.

   • Descripción: escriba una descripción breve y opcional.

   • OMA-URI: escriba el valor del dispositivo del CSP AttackSurfaceReductionRules : ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

     • Tipo de datos: seleccione Cadena.

     • Valor: use la sintaxis siguiente:

       <RuleGuid1>=<ModeForRuleGuid1>
       <RuleGuid2>=<ModeForRuleGuid2>
       ...
       <RuleGuidN>=<ModeForRuleGuidN>
       

       • Los valores GUID de las reglas ASR están disponibles en las reglas de ASR.
       • Están disponibles los siguientes modos de regla :
         • 0: desactivado
         • 1:Bloquear
         • 2: auditoría
         • 5: no configurado
         • 6: advertir

       Por ejemplo:

       75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2
       3b576869-a4ec-4529-8536-b80a7769e899=1
       d4f940ab-401b-4efc-aadc-ad5f3c50688a=2
       d3e037e1-3eb8-44c8-a917-57927947596d=1
       5beb7efe-fd9a-4556-801d-275e5ffc04cc=0
       be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1
       

     

     Cuando haya terminado en el control flotante Agregar fila , seleccione Guardar.

     Sugerencia

     En este punto, también podría agregar exclusiones de reglas ASR globales al perfil personalizado en lugar de crear un perfil independiente solo para exclusiones. Para obtener instrucciones, consulte la siguiente subsección Configurar exclusiones de reglas asr globales en Intune mediante perfiles personalizados con OMA-URIs y CSP.

   En la pestaña Configuración , seleccione Siguiente.

6. En la pestaña Asignaciones , configure los siguientes valores:

   • Sección Grupos incluidos : seleccione una de las siguientes opciones:
     • Agregar grupos: seleccione uno o varios grupos para incluir.
     • Agregar todos los usuarios
     • Agregar todos los dispositivos
   • Sección Grupos excluidos : seleccione Agregar grupos para especificar los grupos que se van a excluir.

   Cuando haya terminado en la pestaña Asignaciones , seleccione Siguiente.

   

7. En la pestaña Reglas de aplicabilidad , seleccione Siguiente.

   Puede usar las propiedades edición del sistema operativo y versión del sistema operativo para definir los tipos de dispositivos que deben o no deben obtener el perfil.

   

8. En la pestaña Revisar y crear , revise la configuración. Puede usar Anterior o seleccionar una pestaña para volver atrás y realizar cambios.

   Cuando esté listo para crear el perfil, seleccione Crear en la pestaña Revisar y crear .

   

Vuelva inmediatamente a la pestaña Directivas de dispositivos | Página de configuración . Es posible que tenga que seleccionar Actualizar para ver la directiva.

Las reglas de ASR están activas en cuestión de minutos.

Configuración de exclusiones de reglas de ASR globales en Intune mediante perfiles personalizados con OMA-URIs y CSP

Los pasos para configurar exclusiones de reglas de ASR globales en Intune mediante un perfil personalizado son muy similares a los pasos de regla de ASR de la sección anterior. La única diferencia es en el paso 5 (la pestaña Configuración ), donde se escribe la información de las excepciones de regla asr:

En la pestaña Configuración , seleccione Agregar. En el control flotante Agregar fila que se abre, configure los siguientes valores:

• Nombre: escriba un nombre único para la regla.
  • Descripción: escriba una descripción breve y opcional.
  • OMA-URI: escriba el valor De dispositivo del CSP AttackSurfaceReductionOnlyExclusions : ./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

    • Tipo de datos: seleccione Cadena.

    • Valor: use la sintaxis siguiente:

      <PathOrPathAndFilename1>
      <PathOrPathAndFilename1>
      ...
      <PathOrPathAndFilenameN>
      

      Por ejemplo:

      C:\folder
      %ProgramFiles%\folder\file.exe
      C:\path
      

Cuando haya terminado en el control flotante Agregar fila , seleccione Guardar.

En la pestaña Configuración , seleccione Siguiente.

El resto de los pasos son los mismos que para configurar reglas ASR.

Configuración de reglas de ASR en cualquier solución MDM mediante el CSP de directiva

El proveedor de servicios de configuración de directivas (CSP) permite a las organizaciones empresariales configurar directivas en dispositivos Windows mediante cualquier solución de administración de dispositivos móviles (MDM), no solo Microsoft Intune. Para obtener más información, consulte CSP de directivas.

Puede configurar reglas de ASR mediante el CSP AttackSurfaceReductionRules con la siguiente configuración:

Ruta de acceso de OMA-URI: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules
Valor: <RuleGuid1>=<ModeForRuleGuid1>|<RuleGuid2>=<ModeForRuleGuid2>|...<RuleGuidN>=<ModeForRuleGuidN>

• Los valores GUID de las reglas ASR están disponibles en las reglas de ASR.
• Están disponibles los siguientes modos de regla :
  • 0: desactivado
  • 1:Bloquear
  • 2: auditoría
  • 5: no configurado
  • 6: advertir

Por ejemplo:

75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2|3b576869-a4ec-4529-8536-b80a7769e899=1|d4f940ab-401b-4efc-aadc-ad5f3c50688a=2|d3e037e1-3eb8-44c8-a917-57927947596d=1|5beb7efe-fd9a-4556-801d-275e5ffc04cc=0|be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1

Nota:

Asegúrese de escribir valores de OMA-URI sin espacios.

Configuración de exclusiones de reglas de ASR globales en cualquier solución MDM mediante el CSP de directiva

Puede usar el CSP de directiva para configurar la ruta de acceso de la regla ASR global, la ruta de acceso y las exclusiones de nombre de archivo mediante el CSP AttackSurfaceReductionOnlyExclusions con la siguiente configuración:

Ruta de acceso de OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions
Valor: <PathOrPathAndFilename1>=0|<PathOrPathAndFilename1>=0|...<PathOrPathAndFilenameN>=0

Por ejemplo: C:\folder|%ProgramFiles%\folder\file.exe|C:\path

Configurar reglas de ASR y exclusiones globales de reglas de ASR en Microsoft Configuration Manager

Para obtener instrucciones, consulte la información de reducción de la superficie expuesta a ataques en Creación e implementación de una directiva de Protección contra ataques.

Advertencia

Hay un problema conocido con la aplicabilidad de la reducción de la superficie expuesta a ataques en las versiones del sistema operativo del servidor que se marca como conforme sin ninguna aplicación real. Actualmente, no hay ninguna fecha de lanzamiento definida para cuándo se corregirá.

Importante

Si usa "Deshabilitar combinación de administración" establecida true en en los dispositivos y usa cualquiera de los siguientes métodos o herramientas, no se aplican las siguientes herramientas o métodos, ya que no se aplican las exclusiones de reglas de ASR por regla o las exclusiones de reglas de ASR locales:

• Administración de la configuración de seguridad de Defender para punto de conexión (Deshabilitar combinación de Administración local) pestaña Directivas de Windows de la página Directivas de seguridad de punto de conexión del portal de Microsoft Defender enhttps://security.microsoft.com/policy-inventory?osPlatform=Windows
• Microsoft Intune (Deshabilitar combinación de Administración local)
• CSP de Defender (DisableLocalAdminMerge)
• directiva de grupo (Configurar el comportamiento de combinación de administrador local para listas)

Para modificar este comportamiento, debe cambiar "Deshabilitar combinación de administradores" a false.

Configuración de reglas y exclusiones de ASR en la directiva de grupo

Advertencia

Si administra los equipos y dispositivos con Intune, Microsoft Configuration Manager u otro software de administración de nivel empresarial, el software de administración sobrescribe cualquier configuración de directiva de grupo en conflicto al iniciarse.

1. En directiva de grupo centralizado, abra la consola de administración de directiva de grupo (GPMC) en el equipo de administración de directiva de grupo.

2. En el árbol de consola de GPMC, expanda directiva de grupo Objetos en el bosque y dominio que contiene el GPO que desea editar.

3. Haga clic con el botón derecho en el GPO y seleccione Editar.

4. En el Editor de administración de directiva de grupo, vaya a Configuración> del equipoPlantillas administrativas>Componentes> de Windows Microsoft Defender Antivirus>Microsoft Defender Reducción de la superficie expuesta a ataques de Exploit Guard>.

5. En el panel de detalles de Reducción de superficie expuesta a ataques, la configuración disponible es:

   • Configurar reglas de reducción de superficie expuesta a ataques
   • Excluir archivos y rutas de acceso de las reglas de reducción de superficie expuesta a ataques
   • Aplicar una lista de exclusiones a reglas específicas de reducción de superficie expuesta a ataques (ASR)

   Para abrir y configurar una configuración de regla ASR, use cualquiera de los métodos siguientes:

   • Haga doble clic en la configuración.
   • Haga clic con el botón derecho en la configuración y, a continuación, seleccione Editar.
   • Seleccione la configuración y, a continuación, seleccione Editar acción>.

Sugerencia

También puede configurar directiva de grupo localmente en dispositivos individuales mediante el Editor de directiva de grupo local (gpedit.msc). Vaya a la misma ruta de acceso: Configuración> del equipoPlantillas administrativas>Componentes> de Windows Microsoft Defender Antivirus> Microsoft DefenderReducción de la superficie expuesta a ataques de Protección contra vulnerabilidades> de seguridad.

La configuración disponible se describe en las siguientes subsecciones.

Importante

Las comillas, los espacios iniciales, los espacios finales y los caracteres adicionales no se admiten en ninguno de los valores relacionados con reglas de ASR de la directiva de grupo.

directiva de grupo rutas de acceso anteriores a Windows 10 versión 2004 (mayo de 2020) podría usar windows Antivirus de Defender en lugar de Microsoft Antivirus de Defender. Ambos nombres hacen referencia a la misma ubicación de directiva.

Configuración de reglas de ASR en la directiva de grupo

1. En el panel de detalles de Reducción de superficie expuesta a ataques, abra la opción Configurar reglas de reducción de superficie expuesta a ataques .

2. En la ventana de configuración que se abre, configure las siguientes opciones:

   1. Seleccione Habilitado.
   2. Establezca el estado de cada regla ASR: seleccione Mostrar....

3. En el cuadro de diálogo Establecer el estado de cada regla de ASR que se abra, configure los siguientes valores:

   • Nombre del valor: escriba el valor GUID de la regla ASR.
   • Valor: escriba uno de los siguientes valores de modo de regla :
     • 0: desactivado
     • 1:Bloquear
     • 2: auditoría
     • 5: no configurado
     • 6: advertir

   

   Para obtener más información, vea Modos de regla de ASR.

   Repita este paso tantas veces como sea necesario. Cuando haya terminado, seleccione Aceptar.

Configuración de exclusiones de reglas de ASR globales en la directiva de grupo

Las rutas de acceso o los nombres de archivo con rutas de acceso especificadas se usan como exclusiones para todas las reglas de ASR.

1. En el panel de detalles de Reducción de superficie expuesta a ataques, abra la configuración Excluir archivos y rutas de acceso de las reglas de reducción de superficie expuesta a ataques .

2. En la ventana de configuración que se abre, configure las siguientes opciones:

   1. Seleccione Habilitado.
   2. Exclusiones de reglas de ASR: seleccione Mostrar....

3. En el cuadro de diálogo Exclusiones de reglas de ASR que se abre, configure los siguientes valores:

   • Nombre del valor: escriba la ruta de acceso o la ruta de acceso y el nombre de archivo que se van a excluir de todas las reglas de ASR.
   • Valor: escriba 0.

   Se admiten los siguientes tipos de nombres de valor:

   • Para excluir todos los archivos de una carpeta, escriba la ruta de acceso completa de la carpeta. Por ejemplo, C:\Data\Test.
   • Para excluir un archivo específico en una carpeta específica (recomendado), escriba la ruta de acceso y el nombre de archivo. Por ejemplo, C:\Data\Test\test.exe.

   Repita este paso tantas veces como sea necesario. Cuando haya terminado, seleccione Aceptar.

Configuración de exclusiones de reglas por ASR en la directiva de grupo

Las rutas de acceso o los nombres de archivo con rutas de acceso especificadas se usan como exclusiones para reglas de ASR específicas.

Nota:

Si la opción Aplicar una lista de exclusiones a reglas específicas de reducción de superficie expuesta a ataques (ASR) no está disponible en la GPMC, necesitará la versión 24H2 o posterior de los archivos plantillas administrativas de la Tienda central.

1. En el panel de detalles de Reducción de superficie expuesta a ataques, abra la opción Aplicar una lista de exclusiones a reglas específicas de reducción de superficie expuesta a ataques (ASR ).

2. En la ventana de configuración que se abre, configure las siguientes opciones:

   1. Seleccione Habilitado.
   2. Exclusiones para cada regla de ASR: seleccione Mostrar....

3. En el cuadro de diálogo Exclusiones para cada regla de ASR que se abre, configure las siguientes opciones:

   • Nombre del valor: escriba el valor GUID de la regla ASR.
   • Valor: escriba una o varias exclusiones para la regla ASR. Use la sintaxis Path1\ProcessName1>Path2\ProcessName2>...PathN\ProcessNameN. Por ejemplo, C:\Windows\Notepad.exe>c:\Windows\regedit.exe>C:\SomeFolder\test.exe.

   Repita este paso tantas veces como sea necesario. Cuando haya terminado, seleccione Aceptar.

Configuración de reglas de ASR en PowerShell

Advertencia

Si administra los equipos y dispositivos con Intune, Administrador de configuración u otra plataforma de administración de nivel empresarial, el software de administración sobrescribe cualquier configuración de PowerShell en conflicto al iniciarse.

En el dispositivo de destino, use la siguiente sintaxis de comandos de PowerShell en una sesión de PowerShell con privilegios elevados (una ventana de PowerShell que abrió seleccionando Ejecutar como administrador):

<Add-MpPreference | Set-MpPreference | Remove-MpPreference> -AttackSurfaceReductionRules_Ids <RuleGuid1>,<RuleGuid2>,...<RuleGuidN> -AttackSurfaceReductionRules_Actions <ModeForRuleGuid1>,<ModeForRuleGuid2>,...<ModeForRuleGuidN>

• Set-MpPreferencesobrescribe las reglas existentes y sus modos correspondientes con los valores especificados. Para ver la lista de valores existentes, ejecute el siguiente comando:

  $p = Get-MpPreference;0..([math]::Min($p.AttackSurfaceReductionRules_Ids.Count,$p.AttackSurfaceReductionRules_Actions.Count)-1) | % {[pscustomobject]@{Id=$p.AttackSurfaceReductionRules_Ids[$_];Action=$p.AttackSurfaceReductionRules_Actions[$_]}} | Format-Table -AutoSize
  

  Para agregar nuevas reglas y sus modos correspondientes sin afectar a los valores existentes, use el cmdlet Add-MpPreference . Para quitar las reglas especificadas y sus modos correspondientes sin afectar a otros valores existentes, use el cmdlet Remove-MpPreference . La sintaxis del comando es idéntica para los tres cmdlets.

• Los valores GUID de las reglas ASR están disponibles en las reglas de ASR.

• Los valores válidos para el parámetro AttackSurfaceReductionRules_Actions son:

  • 0 o Disabled
  • 1 o Enabled (modo de bloque )
  • 2o o AuditModeAudit
  • 5 o NotConfigured
  • 6 o Warn

En el ejemplo siguiente se configuran las reglas ASR especificadas en el dispositivo:

• Las dos primeras reglas están habilitadas en modo de bloque .
• La tercera regla está deshabilitada.
• La última regla está habilitada en modo auditoría .

Set-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869,3b576869-a4ec-4529-8536-b80a7769e899,e6db77e5-3df2-4cf1-b95a-636979351e5,01443614-cd74-433a-b99e-2ecdc07bfc25 -AttackSurfaceReductionRules_Actions Enabled,Enabled,Disabled,AuditMode

Configuración de exclusiones de reglas de ASR globales en PowerShell

En el dispositivo de destino, use la siguiente sintaxis de comandos de PowerShell en una sesión de PowerShell con privilegios elevados:

<Add-MpPreference | Set-MpPreference | Remove-MpPreference> -AttackSurfaceReductionOnlyExclusions "<PathOrPathAndFilename1>","<PathOrPathAndFilename2>",..."<PathOrPathAndFilenameN>"

• Set-MpPreferencesobrescribe las exclusiones de reglas ASR existentes con los valores especificados. Para ver la lista de valores existentes, ejecute el siguiente comando:

  (Get-MpPreference).AttackSurfaceReductionOnlyExclusions
  

  Para agregar nuevas excepciones sin afectar a los valores existentes, use el cmdlet Add-MpPreference . Para quitar las excepciones especificadas sin afectar a ningún otro valor, use el cmdlet Remove-MpPreference . La sintaxis del comando es idéntica para los tres cmdlets.

  En el ejemplo siguiente se configura la ruta de acceso y la ruta de acceso especificadas con nombre de archivo como exclusiones para todas las reglas de ASR en el dispositivo:

  Set-MpPreference -AttackSurfaceReductionOnlyExclusions "C:\Data\Test","C:\Data\LOBApp\app1.exe"
  

Contenido relacionado

• Referencia de reglas de reducción de la superficie expuesta a ataques (ASR)
• Evaluación de la reducción de la superficie expuesta a ataques
• Preguntas más frecuentes sobre la reducción de la superficie expuesta a ataques