Introducción a las reglas de reducción de superficie expuesta a ataques (ASR)

  • Se aplica a: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Sugerencia

Como complemento a este artículo, consulte nuestra guía de configuración de Security Analyzer para revisar los procedimientos recomendados y aprender a fortalecer las defensas, mejorar el cumplimiento y navegar por el panorama de ciberseguridad con confianza. Para una experiencia personalizada basada en su entorno, puede acceder a la guía de configuración automatizada de Security Analyzer en el Centro de administración de Microsoft 365.

La superficie expuesta a ataques de la organización incluye todos los lugares donde un atacante podría obtener acceso. Para obtener más información, consulte Reducción de la superficie expuesta a ataques en Microsoft Defender para punto de conexión.

Las reglas de reducción de la superficie expuesta a ataques (ASR) en Microsoft Defender Antivirus tienen como objetivo el comportamiento de software de riesgo en dispositivos Windows que los atacantes suelen aprovechar a través de malware. Por ejemplo:

  • Iniciar archivos ejecutables y scripts que intentan descargar o ejecutar archivos.
  • Ejecución de scripts ofuscados o que no son de confianza.
  • Crear procesos secundarios a partir de aplicaciones potencialmente vulnerables (por ejemplo, aplicaciones de Office).
  • Insertar código en otros procesos.

Aunque las aplicaciones legítimas también pueden hacer estas cosas, los atacantes suelen usar malware que se comporta de la misma manera.

Consulte la siguiente serie de artículos para planear, probar, implementar y supervisar reglas de ASR:

Sugerencia

Si busca información relacionada con el antivirus para otras plataformas, consulte:

Reglas de ASR

Las reglas de ASR se agrupan en las categorías siguientes:

Las reglas de ASR disponibles, sus valores GUID correspondientes y sus categorías se describen en la tabla siguiente:

  • Los vínculos de los nombres de regla le llevan a descripciones detalladas de reglas en el artículo de referencia de reglas de ASR .

  • Aparte de las directivas de seguridad de punto de conexión en Microsoft Intune y Microsoft Configuration Manager, todos los demás métodos de configuración de reglas de ASR identifican las reglas por valor GUID.

    En la tabla se describen las diferencias de nombre de regla de ASR entre Microsoft Intune y Microsoft Configuration Manager.

    Sugerencia

    Microsoft Configuration Manager era conocido anteriormente por otros nombres:

    • Microsoft System Center Configuration Manager: versión 1511 a 1906 (noviembre de 2015 a julio de 2019)
    • Microsoft Endpoint Configuration Manager: versión 1910 a 2211 (de diciembre de 2019 a diciembre de 2022)
    • Microsoft Configuration Manager: versión 2303 (abril de 2023) o posterior

    Para obtener información de soporte técnico y actualización, consulte Novedades y mantenimiento para Administrador de configuración.

Nombre de regla en Microsoft Intune Nombre de regla en Microsoft Configuration Manager GUID Categoría
Standard reglas de protección
Bloquear el abuso de controladores firmados vulnerables explotados (dispositivo) No aplicable 56a863a9-875e-4185-98a7-b882c64b5ce5 Misc
Bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows mismo 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 Movimiento lateral & robo de credenciales
Bloquear la persistencia a través de la suscripción de eventos WMI No aplicable e6db77e5-3df2-4cf1-b95a-636979351e5b Movimiento lateral & robo de credenciales
Otras reglas de ASR
Impedir que Adobe Reader cree procesos secundarios No aplicable 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c Aplicaciones de productividad
Impedir que todas las aplicaciones de Office creen procesos secundarios Impedir que la aplicación de Office cree procesos secundarios d4f940ab-401b-4efc-aadc-ad5f3c50688a Aplicaciones de productividad
Bloquear el contenido ejecutable del cliente de correo electrónico y el correo web mismo be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 Correo electrónico
Impedir que los archivos ejecutables se ejecuten a menos que cumplan un criterio de prevalencia, edad o lista de confianza Impedir que los archivos ejecutables se ejecuten a menos que cumplan un criterio de prevalencia, edad o lista de confianza 01443614-cd74-433a-b99e-2ecdc07bfc25 Amenazas polimórficas
Bloquear la ejecución de scripts potencialmente ofuscados mismo 5beb7efe-fd9a-4556-801d-275e5ffc04cc Script
Impedir que JavaScript o VBScript inicien contenido ejecutable descargado mismo d3e037e1-3eb8-44c8-a917-57927947596d Script
Impedir que las aplicaciones de Office creen contenido ejecutable mismo 3b576869-a4ec-4529-8536-b80a7769e899 Aplicaciones de productividad
Impedir que las aplicaciones de Office inserten código en otros procesos mismo 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 Aplicaciones de productividad
Impedir que la aplicación de comunicación de Office cree procesos secundarios No aplicable 26190899-1602-49e8-8b27-eb1d0a1ce869 Email, aplicaciones de productividad
Bloquear las creaciones de procesos que se originen a partir de comandos PSExec y WMI No aplicable d1e49aac-8f56-4280-b9ba-993a6d77406c Movimiento lateral & robo de credenciales
Bloquear el reinicio de la máquina en modo seguro No aplicable 33ddedf1-c6e0-47cb-833e-de6133960387 Misc
Bloquear procesos que no son de confianza y no firmados que se ejecutan desde USB mismo b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 Amenazas polimórficas
Bloquear el uso de herramientas del sistema copiadas o suplantadas No aplicable c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb Misc
Bloquear la creación de WebShell para servidores No aplicable a8f5898e-1dc8-49a9-9878-85004b8a61e6 Misc
Bloquear llamadas API de Win32 desde macros de Office mismo 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b Aplicaciones de productividad
Uso de protección avanzada contra ransomware mismo c1db55ab-c21a-4637-bb3f-a12568109d35 Amenazas polimórficas

Requisitos de las reglas de ASR

Las reglas de ASR requieren Microsoft Defender Antivirus como la aplicación antivirus principal en dispositivos Windows:

  • Microsoft Defender Antivirus debe estar habilitado y en modo activo. En concreto, Microsoft Defender Antivirus no puede estar en ninguno de los modos siguientes:

    • Pasivo
    • Modo pasivo con detección y respuesta de puntos de conexión (EDR) en modo de bloque
    • Examen periódico limitado (LPS)
    • Desactivado

    Para obtener más información sobre los modos de Microsoft Defender Antivirus, consulte Cómo afecta Microsoft Defender Antivirus a la funcionalidad de Defender para punto de conexión.

  • La protección en tiempo real en Microsoft Defender Antivirus debe estar activada.

  • La protección proporcionada en la nube (también conocida como Servicio de protección avanzada de Microsoft o MAPS) es fundamental para la funcionalidad de reglas de ASR. La protección en la nube mejora la protección estándar en tiempo real y es un componente fundamental para evitar infracciones de malware. Algunas reglas de ASR tienen específicamente requisitos de Cloud Delivery Protection para las alertas de detección y respuesta de puntos de conexión (EDR) en Defender para punto de conexión y ventanas emergentes de notificaciones de usuario. Para obtener más información, consulte Alertas y notificaciones de acciones de regla de ASR.

    Por el mismo motivo, el entorno debe permitir conexiones al servicio en la nube Microsoft Defender Antivirus.

  • Microsoft Defender versiones del componente Antivirus no deben tener más de dos versiones anteriores a la versión más disponible actualmente:

    • Versión de actualización de la plataforma: se actualiza mensualmente.
    • Versión de MEngine: se actualiza mensualmente.
    • Inteligencia de seguridad: Microsoft actualiza continuamente la inteligencia de seguridad (también conocida como definiciones y firmas) para abordar las amenazas más recientes y refinar la lógica de detección.

    Mantener Microsoft Defender versiones de Antivirus actualizadas ayuda a reducir los falsos positivos de la regla ASR y mejora Microsoft Defender capacidades de detección de antivirus. Para obtener más información sobre las versiones actuales y cómo actualizar los distintos componentes de antivirus de Microsoft Defender, consulte Microsoft Defender compatibilidad con la plataforma antivirus.

  • Aunque las reglas de ASR no requieren Microsoft 365 E5, Microsoft recomienda las funcionalidades de seguridad de E5 o suscripciones equivalentes para aprovechar las siguientes funcionalidades de administración avanzada:

    • Supervisión, análisis y flujos de trabajo en Defender para punto de conexión.
    • Funcionalidades de creación de informes y configuración en el portal de Microsoft Defender XDR.

    Las funcionalidades de administración avanzada no están disponibles con otras licencias (por ejemplo, Windows Professional o Microsoft 365 E3). Sin embargo, puede desarrollar sus propias herramientas de supervisión e informes sobre los eventos de regla asr que se generan en Windows Visor de eventos en cada dispositivo (por ejemplo, reenvío de eventos de Windows).

    Para obtener más información sobre las licencias de Windows, consulta Licencias de Windows y obtén la Guía de referencia de licencias por volumen de Microsoft.

Sistemas operativos admitidos para reglas de ASR

Las reglas de ASR son una característica Microsoft Defender Antivirus que se encuentra en cualquier edición de Windows que incluye Microsoft Defender Antivirus (por ejemplo, Windows 11 Home). Puede configurar las reglas de ASR localmente en dispositivos mediante PowerShell o directiva de grupo.

La administración centralizada, los informes y las alertas de las reglas de ASR en Microsoft Defender para punto de conexión están disponibles en las siguientes ediciones y versiones de Windows:

  • Ediciones Pro y Enterprise de Windows 10 o posterior.
  • Windows Server 2012 R2 o posterior.
  • Azure Local (anteriormente conocida como Azure Stack HCI) versión 23H2 o posterior.

Para obtener más información sobre la compatibilidad con el sistema operativo, consulte Compatibilidad del sistema operativo con las reglas de ASR.

Modos para reglas ASR

Una regla ASR puede estar en uno de los modos siguientes, tal como se describe en la tabla siguiente:

Modo de regla Código Descripción
Desactivado o
Disabled		 0 La regla ASR está deshabilitada explícitamente.

Este valor puede provocar conflictos cuando se asigna al mismo dispositivo la misma regla ASR en diferentes modos mediante directivas diferentes.
Bloquear o
Activated		 1 La regla ASR está habilitada en modo de bloque .
Auditoría o
Modo de auditoría		 2 La regla ASR está habilitada como si estuviera en modo de bloque , pero sin realizar ninguna acción.

Las detecciones de reglas de ASR en el modo auditoría están disponibles en las siguientes ubicaciones:
Sin configurar 5 La regla ASR no está habilitada explícitamente.

Este valor es funcionalmente equivalente a Deshabilitado o Desactivado, pero sin la posibilidad de conflictos de reglas.
Advertir o
Advertencia		 6 La regla ASR está habilitada como si estuviera en modo de bloqueo , pero los usuarios pueden seleccionar Desbloquear en el elemento emergente de notificación de advertencia para omitir el bloque durante 24 horas. Después de 24 horas, el usuario debe omitir el bloque de nuevo.

El modo de advertencia se admite en Windows 10 versión 1809 (noviembre de 2018) o posterior. Las reglas de ASR en el modo De advertencia en las versiones no admitidas de Windows están efectivamente en modo de bloque (la omisión no está disponible).

El modo de advertencia no está disponible en Microsoft Configuration Manager.

El modo de advertencia tiene los siguientes requisitos de versión Microsoft Defender Antivirus:
  • Versión de la plataforma: 4.18.2008.9 (agosto de 2020) o posterior.
  • Versión del motor: 1.1.17400.5 (agosto de 2020) o posterior.

Las siguientes reglas de ASR no admiten el modo de advertencia :

Microsoft recomienda el modo de bloqueo para las reglas de protección estándar y las pruebas iniciales en modo auditoría para otras reglas de ASR antes de activarlas en el modo Bloquear o Advertir .

Muchas aplicaciones de línea de negocio se escriben con problemas de seguridad limitados y pueden actuar de maneras que parezcan similares al malware. Al supervisar los datos de las reglas de ASR en modo auditoría y agregar exclusiones para las aplicaciones necesarias , puede implementar reglas de ASR sin reducir la productividad.

Antes de habilitar las reglas de ASR en modo de bloque , evalúe sus efectos en el modo auditoría y las recomendaciones de seguridad. Para obtener más información, vea Reglas de ASR de prueba.

Métodos de implementación y configuración para reglas ASR

Microsoft Defender para punto de conexión admite reglas ASR, pero no incluye un método integrado para implementar la configuración de reglas de ASR en los dispositivos. En su lugar, se usa una herramienta de implementación o administración independiente para crear y distribuir directivas de reglas de ASR a los dispositivos. No todos los métodos de implementación admiten todas las reglas de ASR. Para obtener detalles por regla, consulte Compatibilidad del método de implementación con las reglas de ASR.

En la tabla siguiente se resumen los métodos disponibles. Para obtener instrucciones de configuración detalladas, consulte Configuración de reglas y exclusiones de reducción de superficie expuesta a ataques (ASR).

Método Descripción
Microsoft Intune directivas de seguridad de puntos de conexión Método recomendado para configurar y distribuir directivas de reglas asr a dispositivos. Requiere Plan 1 de Microsoft Intune (incluido en suscripciones como Microsoft 365 E3 o disponible como complemento independiente).
Microsoft Intune perfiles personalizados con OMA-URIs Un método alternativo para configurar reglas ASR en Intune mediante perfiles de Open Mobile Alliance – Uniform Resource (OMA-URI).
Cualquier solución MDM mediante el CSP de directiva Use el proveedor de servicios de configuración de directivas de Windows (CSP) con cualquier solución MDM.
Microsoft Configuration Manager Usa la directiva Microsoft Defender Antivirus en el área de trabajo Activos y cumplimiento.
Directiva de grupo Use la directiva de grupo centralizada para configurar y distribuir reglas ASR a dispositivos unidos a un dominio. O bien, puede configurar directiva de grupo localmente en dispositivos individuales.
PowerShell Configure las reglas de ASR localmente en dispositivos individuales. PowerShell admite todas las reglas de ASR.

Exclusiones de archivos y carpetas para reglas ASR

Importante

La exclusión de archivos o carpetas puede reducir gravemente la protección de las reglas de ASR. Los archivos excluidos pueden ejecutarse y no se registran informes ni eventos sobre el archivo. Si las reglas de ASR detectan archivos que no se deben detectar, use el modo auditoría para probar la regla.

Puede excluir archivos y carpetas específicos de que se evalúen mediante reglas de ASR. Incluso si una regla ASR determina que el archivo o la carpeta contiene un comportamiento malintencionado, no impide que se ejecuten los archivos excluidos.

Puede usar los métodos siguientes para excluir archivos y carpetas de las reglas de ASR:

  • Microsoft Defender Exclusiones de Antivirus: no todas las reglas de ASR respetan estas exclusiones. Para obtener más información sobre Microsoft Defender exclusiones de Antivirus, consulte Configurar exclusiones personalizadas para Microsoft Defender Antivirus.

    Sugerencia

    Todas las reglas de ASR respetan las exclusiones del proceso en Microsoft Defender Antivirus.

  • Exclusiones de reglas de ASR globales: estas exclusiones se aplican a todas las reglas de ASR. Todos los métodos de configuración de reglas de ASR también admiten la configuración de exclusiones de reglas de ASR globales.

  • Exclusiones de reglas por ASR: asigne exclusiones diferentes de forma selectiva a distintas reglas de ASR. Solo los siguientes métodos de configuración de reglas asr también admiten la configuración de exclusiones de reglas por ASR:

  • Indicadores de peligro (IOC): la mayoría de las reglas de ASR respetan los IOC para los archivos bloqueados y los certificados bloqueados. Para obtener más información sobre los ioC, consulte Información general de los indicadores en Microsoft Defender para punto de conexión.

La aplicación de diferentes tipos de exclusiones para las reglas ASR se resume en la tabla siguiente:

Nombre de regla Respeta el archivo MDAV y
exclusiones de carpetas		 Respeta asr global
exclusiones		 Respeta la regla por ASR
exclusiones		 Respeta a los ioCs por
archivos		 Respeta a los ioCs por
certificados
Standard reglas de protección
Bloquear el abuso de controladores firmados vulnerables explotados (dispositivo) v v v v v
Bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows N v v N N
Bloquear la persistencia a través de la suscripción de eventos WMI N v v N N
Otras reglas de ASR
Impedir que Adobe Reader cree procesos secundarios N v v v v
Impedir que todas las aplicaciones de Office creen procesos secundarios v v v v v
Bloquear el contenido ejecutable del cliente de correo electrónico y el correo web v v v v v
Impedir que los archivos ejecutables se ejecuten a menos que cumplan un criterio de prevalencia, edad o lista de confianza v v v v v
Bloquear la ejecución de scripts potencialmente ofuscados v v v v v
Impedir que JavaScript o VBScript inicien contenido ejecutable descargado v v v v v
Impedir que las aplicaciones de Office creen contenido ejecutable N v v v v
Impedir que las aplicaciones de Office inserten código en otros procesos N v v N N
Impedir que la aplicación de comunicación de Office cree procesos secundarios N v v v v
Bloquear las creaciones de procesos que se originen a partir de comandos PSExec y WMI N v v v v
Bloquear el reinicio de la máquina en modo seguro v v v v v
Bloquear procesos que no son de confianza y no firmados que se ejecutan desde USB v v v v v
Bloquear el uso de herramientas del sistema copiadas o suplantadas v v v v v
Bloquear la creación de WebShell para servidores v v v v v
Bloquear llamadas API de Win32 desde macros de Office v v v v N
Uso de protección avanzada contra ransomware v v v v v

Al agregar exclusiones, tenga en cuenta estos puntos:

  • Las rutas de exclusión pueden usar variables de entorno y caracteres comodín. Para obtener más información, consulte Uso de caracteres comodín en las listas de exclusión de extensiones o ruta de acceso de archivo y carpeta.

    Sugerencia

    No use variables de entorno de usuario como caracteres comodín en las exclusiones de carpetas y procesos. Use solo los siguientes tipos de variables de entorno como caracteres comodín:

    • Variables de entorno del sistema.
    • Variables de entorno que se aplican a los procesos que se ejecutan como la cuenta NT AUTHORITY\SYSTEM.

    Para obtener una lista de las variables de entorno del sistema, consulte Variables de entorno del sistema.

    • Los caracteres comodín no pueden definir una letra de unidad.
    • Para excluir más de una carpeta en una ruta de acceso, use varias instancias de \*\ para indicar varias carpetas anidadas. Por ejemplo, c:\Folder\*\*\Test.
    • Microsoft Configuration Manager admite caracteres comodín (* o ?).
    • Para excluir un archivo que contenga caracteres aleatorios (por ejemplo, de la generación automatizada de archivos), use ? el símbolo . Por ejemplo, C:\Folder\fileversion?.docx.

  • Las exclusiones solo se aplican cuando se inicia la aplicación o el servicio. Por ejemplo, si agrega una exclusión para un servicio de actualización que ya se está ejecutando, el servicio de actualización sigue desencadenando detecciones de reglas asr hasta que reinicie el servicio.

Conflictos de directivas en reglas de ASR

Si al mismo dispositivo se le asignan dos directivas de regla de ASR diferentes, pueden producirse posibles conflictos en función de los siguientes elementos:

  • Si se asignan las mismas reglas ASR en modos diferentes.
  • Si la administración de conflictos está en vigor.
  • Si el resultado es un error.

Las reglas ASR que no son de confianza no producen errores. Se aplica la primera regla y las reglas posteriores no de confianza se combinan en la directiva.

Si una solución de administración de dispositivos móviles (MDM) y directiva de grupo aplicar una configuración de regla ASR diferente al mismo dispositivo, la configuración de directiva de grupo tiene prioridad.

Para obtener información sobre cómo se controlan los conflictos de configuración de reglas de ASR para los métodos de implementación disponibles en Microsoft Intune, consulte Dispositivos administrados por Intune.

Notificaciones y alertas para reglas de ASR

Cuando se desencadena una regla ASR en el modo Bloquear o Advertir en un dispositivo, se muestra una notificación en el dispositivo. Puede personalizar la información en las notificaciones. Para obtener más información, consulte Personalización de la información de contacto en Seguridad de Windows.

Las alertas de detección y respuesta de puntos de conexión (EDR) en Defender para punto de conexión se generan cuando se desencadenan las reglas de ASR admitidas.

Para obtener detalles específicos sobre la funcionalidad de notificaciones y alertas, consulte Alertas y notificaciones de acciones de regla de ASR.

Para ver la actividad de alertas de ASR en el portal de Microsoft Defender y en los dispositivos de Windows Visor de eventos, consulte Supervisión de la actividad de reglas de reducción de la superficie expuesta a ataques (ASR).

Supervisión de la actividad de regla de ASR

Para obtener información completa, consulte Supervisión de la actividad de reglas de reducción de la superficie expuesta a ataques (ASR).

Contenido relacionado

  • Last updated on