Demostraciones de reglas de reducción de superficie expuesta a ataques
Se aplica a:
- Microsoft Defender para punto de conexión Plan 2
- Microsoft Defender para Empresas
- Microsoft Defender para punto de conexión Plan 1
- Antivirus de Microsoft Defender
Las reglas de reducción de superficie expuesta a ataques tienen como destino comportamientos específicos que suelen usar el malware y las aplicaciones malintencionadas para infectar máquinas, como:
- Archivos ejecutables y scripts usados en aplicaciones de Office o correo web que intentan descargar o ejecutar archivos
- Scripts ofuscados o sospechosos
- Comportamientos que realizan las aplicaciones que no se inician durante el trabajo diario normal
Requisitos y configuración del escenario
- Windows 11, Windows 10 1709 compilación 16273 o posterior
- Windows Server 2022, Windows Server 2019, Windows Server 2016 o Windows Server 2012 R2 con el cliente de MDE unificado.
- Antivirus de Microsoft Defender
- Aplicaciones Microsoft 365 (Office; se requiere para las reglas y el ejemplo de Office)
- Descarga de scripts de PowerShell de reducción de superficie expuesta a ataques
Comandos de PowerShell
Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917-57927947596D -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA-993A6D77406C -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3F-A12568109D35 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E-2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49E8-8B27-EB1D0A1CE869 -AttackSurfaceReductionRules_Actions AuditMode
Add-MpPreference -AttackSurfaceReductionRules_Ids 7674BA52-37EB-4A4F-A9A1-F0F9A1619A2C -AttackSurfaceReductionRules_Actions AuditMode
Estados de regla
| Estado | Modo | Valor numérico |
|---|---|---|
| Deshabilitada | = Desactivado | 0 |
| Habilitado | = Modo de bloque | 1 |
| Auditoría | = Modo auditoría | 2 |
Comprobación de la configuración
Get-MpPreference
Archivos de prueba
Nota: algunos archivos de prueba tienen varias vulnerabilidades de seguridad incrustadas y desencadenan varias reglas.
| Nombre de regla | GUID de regla |
|---|---|
| Bloquear el contenido ejecutable del cliente de correo electrónico y el correo web | BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 |
| Impedir que las aplicaciones de Office creen procesos secundarios | D4F940AB-401B-4EFC-AADC-AD5F3C50688A |
| Impedir que las aplicaciones de Office creen contenido ejecutable | 3B576869-A4EC-4529-8536-B80A7769E899 |
| Impedir que las aplicaciones de Office se inserten en otros procesos | 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 |
| Impedir que JavaScript y VBScript inicien ejecutables | D3E037E1-3EB8-44C8-A917-57927947596D |
| Bloquear la ejecución de scripts potencialmente ofuscados | 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC |
| Bloquear importaciones de Win32 desde código de macro en Office | 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDDC7B |
| {Block Process Creations origining from PSExec & wmi commands | D1E49AAC-8F56-4280-B9BA-993A6D77406C |
| Bloquear la ejecución de archivos ejecutables que no son de confianza o no firmados dentro de medios USB extraíbles | B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 |
| Prevención agresiva de ransomware | C1DB55AB-C21A-4637-BB3F-A12568109D35 |
| Impedir que los archivos ejecutables se ejecuten a menos que cumplan un criterio de prevalencia, edad o lista de confianza | 01443614-CD74-433A-B99E-2ECDC07BFC25 |
| Impedir que Adobe Reader cree procesos secundarios | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
| Bloquear el abuso de controladores firmados vulnerables explotados | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
| Bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows (lsass.exe) | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
| Bloquear la persistencia a través de la suscripción de eventos WMI | e6db77e5-3df2-4cf1-b95a-636979351e5b |
| Bloquear la creación de WebShell para servidores | a8f5898e-1dc8-49a9-9878-85004b8a61e6 |
Escenarios
Instalación
Descargue y ejecute este script de instalación. Antes de ejecutar el script, establezca la directiva de ejecución en Sin restricciones mediante este comando de PowerShell:
Set-ExecutionPolicy Unrestricted
En su lugar, puede realizar estos pasos manuales:
- Create una carpeta en c: denominada demo, "c:\demo"
- Guarde este archivo limpio en c:\demo.
- Habilite todas las reglas mediante el comando de PowerShell.
Escenario 1: La reducción de la superficie expuesta a ataques bloquea un archivo de prueba con varias vulnerabilidades
- Habilitar todas las reglas en modo de bloque mediante los comandos de PowerShell (puede copiar pegar todo)
- Descargue y abra cualquiera de los archivos o documentos de prueba, y habilite la edición y el contenido, si se le solicita.
Resultados esperados del escenario 1
Debería ver inmediatamente una notificación "Acción bloqueada".
Escenario 2: la regla ASR bloquea el archivo de prueba con la vulnerabilidad correspondiente
Configure la regla que desea probar con el comando de PowerShell del paso anterior.
Ejemplo:
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions EnabledDescargue y abra el archivo o documento de prueba de la regla que desea probar y habilite la edición y el contenido, si se le solicita.
Ejemplo: Impedir que las aplicaciones de Office creen procesos secundarios D4F940AB-401B-4EFC-AADC-AD5F3C50688A
Resultados esperados del escenario 2
Debería ver inmediatamente una notificación "Acción bloqueada".
Escenario 3 (Windows 10 o posterior): la regla ASR impide que se ejecute contenido USB sin firmar
- Configure la regla para la protección usb (
B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4).
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled
- Descargue el archivo y colóquelo en un stick USB y ejecútelo bloquear la ejecución de archivos ejecutables que no son de confianza o no firmados dentro de medios USB extraíbles.
Resultados esperados del escenario 3
Debería ver inmediatamente una notificación "Acción bloqueada".
Escenario 4: ¿Qué ocurriría sin reducción de la superficie expuesta a ataques?
Desactive todas las reglas de reducción de superficie expuesta a ataques mediante comandos de PowerShell en la sección de limpieza.
Descargue cualquier archivo o documento de prueba y habilite la edición y el contenido, si se le solicita.
Resultados esperados del escenario 4
- Los archivos de c:\demo están cifrados y debería recibir un mensaje de advertencia.
- Vuelva a ejecutar el archivo de prueba para descifrar los archivos.
Limpiar
Descarga y ejecución de este script de limpieza
Como alternativa, puede realizar estos pasos manuales:
Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917-57927947596D -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA-993A6D77406C -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3F-A12568109D35 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E-2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49E8-8B27-EB1D0A1CE869 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 7674BA52-37EB-4A4F-A9A1-F0F9A1619A2C -AttackSurfaceReductionRules_Actions Disabled
Limpieza del cifrado c:\demo mediante la ejecución del archivo encrypt/decrypt
Consulte también
Guía de implementación de reglas de reducción de superficie expuesta a ataques
Referencia de reglas de reducción de superficie expuesta a ataques
Microsoft Defender para punto de conexión: escenarios de demostración
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de