Preguntas más frecuentes sobre la reducción de la superficie expuesta a ataques

Ignorado

¿La reducción de la superficie expuesta a ataques forma parte de Windows?

Sí. Las reglas de reducción de superficie expuesta a ataques (ASR) son una característica de Microsoft Defender Antivirus, que se incluye en todas las ediciones actuales de Windows. Sin embargo, la administración centralizada y la generación de informes para las reglas de ASR requieren Microsoft Defender para punto de conexión. Para obtener más información, consulte Introducción a las reglas de reducción de superficie expuesta a ataques.

¿Necesito una licencia empresarial para ejecutar reglas de reducción de superficie expuesta a ataques?

No. Las reglas de ASR son una característica de Microsoft Defender Antivirus, por lo que funcionan en todas las ediciones actuales de Windows. Sin embargo, la administración centralizada y la generación de informes a través de Microsoft Intune o Microsoft Configuration Manager requieren Microsoft Defender para punto de conexión y las licencias empresariales correspondientes.

Para obtener más información sobre las licencias de Windows, vea https://www.microsoft.com/licensing/product-licensing/windows.

¿Qué capacidades adicionales de reducción de superficie expuesta a ataques están disponibles con Microsoft Defender para punto de conexión?

Microsoft Defender para punto de conexión proporciona administración y supervisión centralizadas de las reglas de ASR, entre las que se incluyen:

• Implementación y configuración centralizadas de reglas asr entre dispositivos.
• Informes de reglas de ASR y visibilidad de alertas en el portal de Microsoft Defender.
• Consultas de búsqueda avanzadas para eventos de regla asr.

Estas funcionalidades requieren una licencia de Defender para punto de conexión (por ejemplo, como parte de Microsoft 365 E3 o E5). Para obtener más información, consulte Métodos de implementación y configuración para reglas ASR.

¿Cuáles son las reglas de reducción de superficie expuesta a ataques admitidas actualmente?

Para obtener más información, consulte Referencia de reglas de reducción de superficie expuesta a ataques.

¿Tengo que activar todas las reglas de reducción de superficie expuesta a ataques al mismo tiempo o puedo activar reglas individuales?

Puede habilitar las reglas de ASR individualmente. Se recomienda habilitar primero la mayoría de las reglas en modo auditoría para determinar el posible efecto para su organización (por ejemplo, para las aplicaciones de línea de negocio).

¿Cómo funcionan las exclusiones de reglas de reducción de superficie expuesta a ataques?

Las reglas de ASR admiten los siguientes tipos de exclusiones:

• Las exclusiones de reglas de ASR globales se aplican a todas las reglas de ASR. Todos los métodos de configuración de reglas de ASR admiten exclusiones globales.
• Las exclusiones de reglas por ASR se aplican a reglas individuales, por lo que puede asignar distintas exclusiones a reglas diferentes. Solo las directivas de seguridad directiva de grupo y de punto de conexión en Microsoft Intune admiten exclusiones por regla.

No todas las reglas de ASR respetan las exclusiones Microsoft Defender Antivirus. Para obtener un desglose completo de la compatibilidad con la exclusión por regla, consulte Exclusiones de archivos y carpetas para las reglas de ASR.

Cómo sé lo que necesito excluir?

Las distintas reglas de reducción de superficie expuesta a ataques tienen diferentes flujos de protección. Piense siempre en qué protege la regla de reducción de superficie expuesta a ataques y cómo funciona el flujo de ejecución. Por ejemplo, leer directamente desde el proceso del subsistema de autoridad de seguridad local (LSASS) puede suponer un riesgo para la seguridad, ya que podría exponer credenciales corporativas.

La regla Bloquear el robo de credenciales del subsistema de autoridad de seguridad local (lsass.exe) de Windows impide que los procesos que no son de confianza tengan acceso directo a la memoria LSASS. Cuando un proceso con el PROCESS_VM_READ derecho de acceso intenta usar la OpenProcess() función para acceder a LSASS, la regla bloquea específicamente ese acceso derecho como se muestra en la captura de pantalla siguiente:

Si necesita crear una excepción para el proceso que se bloqueó, use el nombre de archivo y la ruta de acceso completa, como se muestra en la captura de pantalla siguiente:

El valor 0 significa que las reglas de ASR omiten el archivo o proceso especificado y no lo bloquean ni auditan.

Cómo configurar exclusiones por regla?

Las exclusiones de reglas por ASR solo se admiten en las directivas de seguridad de puntos de conexión y directiva de grupo en Microsoft Intune. Para obtener instrucciones de configuración, consulte Habilitar reglas de reducción de superficie expuesta a ataques. Para obtener información sobre los diferentes tipos de exclusiones, vea Exclusiones de archivos y carpetas para reglas de ASR.

¿Qué reglas de reducción de superficie expuesta a ataques recomienda Microsoft?

Por lo general, se recomienda habilitar todas las reglas, pero con las siguientes consideraciones:

• Normalmente, puede habilitar las siguientes reglas de protección estándar en modo de bloque sin realizar pruebas en el modo auditoría :

  • Bloquear el abuso de controladores firmados vulnerables explotados (dispositivo)
  • Bloquear el robo de credenciales del subsistema de autoridad de seguridad local de WindowsNota: Si ha habilitado la protección de la autoridad de seguridad local (LSA) (que se recomienda, junto con Credential Guard), esta regla es redundante.
  • Bloquear la persistencia a través de la suscripción de eventos WMINota: El cliente de Microsoft Configuration Manager (o versiones anteriores) se basa en gran medida en WMI, por lo que se recomienda realizar pruebas exhaustivas en modo auditoría antes de activar esta regla en modo de bloque.

  Para obtener más información sobre cada una de estas reglas, consulte Standard reglas de protección.

• Todas las demás reglas requieren pruebas en modo auditoría antes de activarlas en modo de bloque . Para obtener más información sobre cada una de estas reglas, consulte Otras reglas de ASR.

¿Cuáles son algunas recomendaciones para empezar a trabajar con la reducción de la superficie expuesta a ataques?

Pruebe las reglas de reducción de superficie expuesta a ataques en el modo auditoría para identificar las aplicaciones de línea de negocio que necesite excluir de la reducción de la superficie expuesta a ataques.

Las organizaciones grandes deben considerar la posibilidad de implementar reglas de reducción de la superficie expuesta a ataques en la expansión de "anillos" donde audite y habilite las reglas en más dispositivos. Puede organizar los dispositivos en anillos mediante Microsoft Intune o una herramienta de administración de directiva de grupo.

Para obtener instrucciones, consulte Introducción a la implementación de reglas de reducción de superficie expuesta a ataques.

¿Cuánto tiempo debo probar una regla de reducción de superficie expuesta a ataques en modo de auditoría antes de habilitarla?

Una regla en modo auditoría durante unos 30 días debe proporcionar una buena línea base para el funcionamiento de la regla. Puede identificar cualquier aplicación de línea de negocio que requiera exclusiones.

Cambio de una solución de seguridad que no es de Microsoft a Microsoft Defender para punto de conexión. ¿Hay alguna manera fácil de importar mis antiguas reglas para reducir la superficie expuesta a ataques?

En la mayoría de los casos, es más fácil y mejor empezar con las recomendaciones de línea base sugeridas por Defender para punto de conexión que intentar importar reglas desde otra solución de seguridad. Use el modo auditoría , la supervisión y el análisis para configurar Defender para punto de conexión.

La configuración predeterminada para la mayoría de las reglas de reducción de superficie expuesta a ataques, combinada con la protección en tiempo real de Defender for Endpoint, protege contra un gran número de vulnerabilidades y vulnerabilidades.

En Defender para punto de conexión, puede actualizar las defensas con indicadores personalizados para permitir y bloquear el comportamiento de software específico. Las reglas de ASR también admiten exclusiones de archivos y carpetas. Por lo general, pruebe una regla en modo auditoría para identificar las exclusiones que podrían ser necesarias para las aplicaciones de línea de negocio.

¿La reducción de superficie expuesta a ataques admite exclusiones de archivos o carpetas que incluyen variables del sistema y caracteres comodín en la ruta de acceso?

Sí. Para más información, consulte los siguientes artículos:

• Exclusiones de archivos y carpetas para reglas ASR
• Configure y valide las exclusiones en función de la extensión de archivo y la ubicación de la carpeta.

¿Cubren todas las aplicaciones las reglas de reducción de superficie expuesta a ataques?

Depende de la regla. La mayoría de las reglas cubren el comportamiento de los productos y servicios de Microsoft Office, por ejemplo, Word, Excel, PowerPoint, OneNote o Outlook. Algunas reglas (por ejemplo, Bloquear la ejecución de scripts potencialmente ofuscados) son más generales en el ámbito.

¿La reducción de superficie expuesta a ataques admite soluciones de seguridad que no son de Microsoft?

No. La reducción de la superficie expuesta a ataques usa Microsoft Defender Antivirus para bloquear aplicaciones. No se puede configurar la reducción de la superficie expuesta a ataques para usar otra solución de seguridad.

Tengo una licencia de Windows Enterprise E5 y he habilitado algunas reglas de reducción de superficie expuesta a ataques con Defender para punto de conexión. ¿Es posible que un evento de reducción de superficie expuesta a ataques no aparezca en la escala de tiempo de eventos en Defender para punto de conexión?

Cuando una regla de reducción de superficie expuesta a ataques desencadena localmente una notificación, también se envía un informe sobre el evento al portal de Defender para punto de conexión. Si tiene problemas para encontrar el evento, puede filtrar la escala de tiempo de los eventos mediante el cuadro de búsqueda.

También puede ver los eventos de reducción de superficie expuesta a ataques seleccionando Ir a la administración de superficies expuestas a ataques en Administración de configuración en la barra de tareas Microsoft Defender para la nube. La página de administración de superficie expuesta a ataques incluye una pestaña para las detecciones de informes, que incluye una lista completa de eventos de regla de reducción de superficie expuesta a ataques notificados a Defender para punto de conexión.

Aplicó una regla mediante directiva de grupo. Cuando intento comprobar las opciones de indexación de la regla en Microsoft Outlook, obtengo un error "Acceso denegado".

Intente abrir las opciones de indexación directamente desde Windows 10 o versiones posteriores; para ello, escriba Opciones de indexación en el cuadro de búsqueda.

Para la regla denominada "Bloquear la ejecución de archivos ejecutables a menos que cumplan un criterio de prevalencia, edad o lista de confianza", ¿puedo configurar manualmente los criterios?

No. La protección en la nube de Microsoft mantiene los criterios mediante los datos recopilados de todo el mundo. Puede personalizar la regla agregando aplicaciones a la lista de exclusiones para evitar que se desencadene la regla.

La regla denominada "Bloquear la ejecución de archivos ejecutables a menos que cumplan un criterio de prevalencia, edad o lista de confianza" está en modo de bloqueo en mi organización. La regla comenzó a bloquear una aplicación desbloqueada anteriormente después de actualizar la aplicación. ¿Hay algo malo?

Esta regla determina la reputación de una aplicación mediante la prevalencia, la edad o la inclusión en una lista de aplicaciones de confianza. La evaluación de estos criterios por parte de la protección en la nube de Microsoft determina en última instancia la decisión de bloquear o permitir una aplicación.

Normalmente, la protección en la nube puede determinar que una nueva versión de una aplicación es lo suficientemente similar a las versiones anteriores de la aplicación, por lo que no se requiere una larga reevaluación de la aplicación. Sin embargo, la nueva versión de la aplicación puede tardar tiempo en crear una reputación, especialmente después de una actualización importante. Mientras tanto, puede agregar la aplicación a la lista de exclusiones. Si actualiza y trabaja con las nuevas versiones de aplicaciones con frecuencia, podría considerar la posibilidad de configurar esta regla en modo auditoría .

Recientemente he habilitado la regla de reducción de la superficie expuesta a ataques denominada Bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows y recibo un gran número de notificaciones. ¿Qué sucede?

Una notificación generada por esta regla no indica necesariamente actividad malintencionada. Pero esta regla sigue siendo útil para bloquear la actividad malintencionada. El malware suele tener como objetivo lsass.exe obtener acceso ilícito a las cuentas. El proceso de lsass.exe almacena las credenciales de usuario en memoria después de que un usuario inicie sesión. Windows usa estas credenciales para validar usuarios y aplicar directivas de seguridad locales.

Dado que muchos procesos legítimos llaman a lsass.exe para obtener credenciales, esta regla puede ser especialmente ruidoso. Si una aplicación legítima conocida hace que esta regla genere un número excesivo de notificaciones, puede agregarla a la lista de exclusión. La mayoría de las demás reglas de reducción de superficie expuesta a ataques generan un número relativamente menor de notificaciones.

¿Es una buena idea habilitar la regla denominada Bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows junto con la protección de LSA?

No. Si ha habilitado la protección de la autoridad de seguridad local (LSA) (que se recomienda, junto con Credential Guard):

• Esta regla no es necesaria.
• Esta regla no proporciona protección adicional (la regla y la protección de LSA funcionan de forma similar).
• Esta regla se clasifica como no aplicable en la configuración de administración de Defender para punto de conexión en el portal de Microsoft Defender.

Si no puede habilitar la protección de LSA o Credential Guard, puede configurar esta regla para proporcionar una protección equivalente contra el malware que tiene como destino lsass.exe.

Contenido relacionado

¿Dónde puedo encontrar más información sobre las reglas de reducción de superficie expuesta a ataques?

• Introducción a las reglas de reducción de superficie expuesta a ataques (ASR)
• Referencia de reglas de reducción de la superficie expuesta a ataques (ASR)
• Guía de implementación de reglas de reducción de la superficie expuesta a ataques (ASR)
• Supervisión de la actividad de la regla de reducción de superficie expuesta a ataques (ASR)
• Configuración de reglas de reducción de superficie expuesta a ataques (ASR)

Sí. Las reglas de reducción de superficie expuesta a ataques (ASR) son una característica de Microsoft Defender Antivirus, que se incluye en todas las ediciones actuales de Windows. Sin embargo, la administración centralizada y la generación de informes para las reglas de ASR requieren Microsoft Defender para punto de conexión. Para obtener más información, consulte Introducción a las reglas de reducción de superficie expuesta a ataques.

No. Las reglas de ASR son una característica de Microsoft Defender Antivirus, por lo que funcionan en todas las ediciones actuales de Windows. Sin embargo, la administración centralizada y la generación de informes a través de Microsoft Intune o Microsoft Configuration Manager requieren Microsoft Defender para punto de conexión y las licencias empresariales correspondientes.

Para obtener más información sobre las licencias de Windows, vea https://www.microsoft.com/licensing/product-licensing/windows.

Microsoft Defender para punto de conexión proporciona administración y supervisión centralizadas de las reglas de ASR, entre las que se incluyen:

• Implementación y configuración centralizadas de reglas asr entre dispositivos.
• Informes de reglas de ASR y visibilidad de alertas en el portal de Microsoft Defender.
• Consultas de búsqueda avanzadas para eventos de regla asr.

Estas funcionalidades requieren una licencia de Defender para punto de conexión (por ejemplo, como parte de Microsoft 365 E3 o E5). Para obtener más información, consulte Métodos de implementación y configuración para reglas ASR.

Para obtener más información, consulte Referencia de reglas de reducción de superficie expuesta a ataques.

Puede habilitar las reglas de ASR individualmente. Se recomienda habilitar primero la mayoría de las reglas en modo auditoría para determinar el posible efecto para su organización (por ejemplo, para las aplicaciones de línea de negocio).

Las reglas de ASR admiten los siguientes tipos de exclusiones:

• Las exclusiones de reglas de ASR globales se aplican a todas las reglas de ASR. Todos los métodos de configuración de reglas de ASR admiten exclusiones globales.
• Las exclusiones de reglas por ASR se aplican a reglas individuales, por lo que puede asignar distintas exclusiones a reglas diferentes. Solo las directivas de seguridad directiva de grupo y de punto de conexión en Microsoft Intune admiten exclusiones por regla.

No todas las reglas de ASR respetan las exclusiones Microsoft Defender Antivirus. Para obtener un desglose completo de la compatibilidad con la exclusión por regla, consulte Exclusiones de archivos y carpetas para las reglas de ASR.

Las distintas reglas de reducción de superficie expuesta a ataques tienen diferentes flujos de protección. Piense siempre en qué protege la regla de reducción de superficie expuesta a ataques y cómo funciona el flujo de ejecución. Por ejemplo, leer directamente desde el proceso del subsistema de autoridad de seguridad local (LSASS) puede suponer un riesgo para la seguridad, ya que podría exponer credenciales corporativas.

La regla Bloquear el robo de credenciales del subsistema de autoridad de seguridad local (lsass.exe) de Windows impide que los procesos que no son de confianza tengan acceso directo a la memoria LSASS. Cuando un proceso con el PROCESS_VM_READ derecho de acceso intenta usar la OpenProcess() función para acceder a LSASS, la regla bloquea específicamente ese acceso derecho como se muestra en la captura de pantalla siguiente:

Si necesita crear una excepción para el proceso que se bloqueó, use el nombre de archivo y la ruta de acceso completa, como se muestra en la captura de pantalla siguiente:

El valor 0 significa que las reglas de ASR omiten el archivo o proceso especificado y no lo bloquean ni auditan.

Las exclusiones de reglas por ASR solo se admiten en las directivas de seguridad de puntos de conexión y directiva de grupo en Microsoft Intune. Para obtener instrucciones de configuración, consulte Habilitar reglas de reducción de superficie expuesta a ataques. Para obtener información sobre los diferentes tipos de exclusiones, vea Exclusiones de archivos y carpetas para reglas de ASR.

Por lo general, se recomienda habilitar todas las reglas, pero con las siguientes consideraciones:

• Normalmente, puede habilitar las siguientes reglas de protección estándar en modo de bloque sin realizar pruebas en el modo auditoría :

  • Bloquear el abuso de controladores firmados vulnerables explotados (dispositivo)
  • Bloquear el robo de credenciales del subsistema de autoridad de seguridad local de WindowsNota: Si ha habilitado la protección de la autoridad de seguridad local (LSA) (que se recomienda, junto con Credential Guard), esta regla es redundante.
  • Bloquear la persistencia a través de la suscripción de eventos WMINota: El cliente de Microsoft Configuration Manager (o versiones anteriores) se basa en gran medida en WMI, por lo que se recomienda realizar pruebas exhaustivas en modo auditoría antes de activar esta regla en modo de bloque.

  Para obtener más información sobre cada una de estas reglas, consulte Standard reglas de protección.

• Todas las demás reglas requieren pruebas en modo auditoría antes de activarlas en modo de bloque . Para obtener más información sobre cada una de estas reglas, consulte Otras reglas de ASR.

Pruebe las reglas de reducción de superficie expuesta a ataques en el modo auditoría para identificar las aplicaciones de línea de negocio que necesite excluir de la reducción de la superficie expuesta a ataques.

Las organizaciones grandes deben considerar la posibilidad de implementar reglas de reducción de la superficie expuesta a ataques en la expansión de "anillos" donde audite y habilite las reglas en más dispositivos. Puede organizar los dispositivos en anillos mediante Microsoft Intune o una herramienta de administración de directiva de grupo.

Para obtener instrucciones, consulte Introducción a la implementación de reglas de reducción de superficie expuesta a ataques.

Una regla en modo auditoría durante unos 30 días debe proporcionar una buena línea base para el funcionamiento de la regla. Puede identificar cualquier aplicación de línea de negocio que requiera exclusiones.

En la mayoría de los casos, es más fácil y mejor empezar con las recomendaciones de línea base sugeridas por Defender para punto de conexión que intentar importar reglas desde otra solución de seguridad. Use el modo auditoría , la supervisión y el análisis para configurar Defender para punto de conexión.

La configuración predeterminada para la mayoría de las reglas de reducción de superficie expuesta a ataques, combinada con la protección en tiempo real de Defender for Endpoint, protege contra un gran número de vulnerabilidades y vulnerabilidades.

En Defender para punto de conexión, puede actualizar las defensas con indicadores personalizados para permitir y bloquear el comportamiento de software específico. Las reglas de ASR también admiten exclusiones de archivos y carpetas. Por lo general, pruebe una regla en modo auditoría para identificar las exclusiones que podrían ser necesarias para las aplicaciones de línea de negocio.

Sí. Para más información, consulte los siguientes artículos:

• Exclusiones de archivos y carpetas para reglas ASR
• Configure y valide las exclusiones en función de la extensión de archivo y la ubicación de la carpeta.

Depende de la regla. La mayoría de las reglas cubren el comportamiento de los productos y servicios de Microsoft Office, por ejemplo, Word, Excel, PowerPoint, OneNote o Outlook. Algunas reglas (por ejemplo, Bloquear la ejecución de scripts potencialmente ofuscados) son más generales en el ámbito.

No. La reducción de la superficie expuesta a ataques usa Microsoft Defender Antivirus para bloquear aplicaciones. No se puede configurar la reducción de la superficie expuesta a ataques para usar otra solución de seguridad.

Cuando una regla de reducción de superficie expuesta a ataques desencadena localmente una notificación, también se envía un informe sobre el evento al portal de Defender para punto de conexión. Si tiene problemas para encontrar el evento, puede filtrar la escala de tiempo de los eventos mediante el cuadro de búsqueda.

También puede ver los eventos de reducción de superficie expuesta a ataques seleccionando Ir a la administración de superficies expuestas a ataques en Administración de configuración en la barra de tareas Microsoft Defender para la nube. La página de administración de superficie expuesta a ataques incluye una pestaña para las detecciones de informes, que incluye una lista completa de eventos de regla de reducción de superficie expuesta a ataques notificados a Defender para punto de conexión.

Intente abrir las opciones de indexación directamente desde Windows 10 o versiones posteriores; para ello, escriba Opciones de indexación en el cuadro de búsqueda.

No. La protección en la nube de Microsoft mantiene los criterios mediante los datos recopilados de todo el mundo. Puede personalizar la regla agregando aplicaciones a la lista de exclusiones para evitar que se desencadene la regla.

Esta regla determina la reputación de una aplicación mediante la prevalencia, la edad o la inclusión en una lista de aplicaciones de confianza. La evaluación de estos criterios por parte de la protección en la nube de Microsoft determina en última instancia la decisión de bloquear o permitir una aplicación.

Normalmente, la protección en la nube puede determinar que una nueva versión de una aplicación es lo suficientemente similar a las versiones anteriores de la aplicación, por lo que no se requiere una larga reevaluación de la aplicación. Sin embargo, la nueva versión de la aplicación puede tardar tiempo en crear una reputación, especialmente después de una actualización importante. Mientras tanto, puede agregar la aplicación a la lista de exclusiones. Si actualiza y trabaja con las nuevas versiones de aplicaciones con frecuencia, podría considerar la posibilidad de configurar esta regla en modo auditoría .

Una notificación generada por esta regla no indica necesariamente actividad malintencionada. Pero esta regla sigue siendo útil para bloquear la actividad malintencionada. El malware suele tener como objetivo lsass.exe obtener acceso ilícito a las cuentas. El proceso de lsass.exe almacena las credenciales de usuario en memoria después de que un usuario inicie sesión. Windows usa estas credenciales para validar usuarios y aplicar directivas de seguridad locales.

Dado que muchos procesos legítimos llaman a lsass.exe para obtener credenciales, esta regla puede ser especialmente ruidoso. Si una aplicación legítima conocida hace que esta regla genere un número excesivo de notificaciones, puede agregarla a la lista de exclusión. La mayoría de las demás reglas de reducción de superficie expuesta a ataques generan un número relativamente menor de notificaciones.

No. Si ha habilitado la protección de la autoridad de seguridad local (LSA) (que se recomienda, junto con Credential Guard):

• Esta regla no es necesaria.
• Esta regla no proporciona protección adicional (la regla y la protección de LSA funcionan de forma similar).
• Esta regla se clasifica como no aplicable en la configuración de administración de Defender para punto de conexión en el portal de Microsoft Defender.

Si no puede habilitar la protección de LSA o Credential Guard, puede configurar esta regla para proporcionar una protección equivalente contra el malware que tiene como destino lsass.exe.

• Introducción a las reglas de reducción de superficie expuesta a ataques (ASR)
• Referencia de reglas de reducción de la superficie expuesta a ataques (ASR)
• Guía de implementación de reglas de reducción de la superficie expuesta a ataques (ASR)
• Supervisión de la actividad de la regla de reducción de superficie expuesta a ataques (ASR)
• Configuración de reglas de reducción de superficie expuesta a ataques (ASR)