Referencia de reglas de reducción de la superficie expuesta a ataques (ASR)

  • Se aplica a: Microsoft Defender for Endpoint Plan 2

Las reglas de reducción de superficie expuesta a ataques (ASR) tienen como destino un comportamiento de software de riesgo en dispositivos Windows que los atacantes suelen aprovechar a través de malware (por ejemplo, iniciar scripts que descargan archivos, ejecutar scripts ofuscados e insertar código en otros procesos). Para obtener más información sobre las reglas de ASR, consulte Introducción a las reglas de reducción de superficie expuesta a ataques (ASR).

Este artículo es una referencia técnica para las reglas de ASR que proporciona la siguiente información:

Importante

Parte de la información contenida en este artículo se refiere a un producto preliminar que puede sufrir modificaciones sustanciales antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

Compatibilidad del sistema operativo con reglas ASR

Las reglas de ASR son una característica Microsoft Defender Antivirus que está disponible en cualquier edición de Windows que incluya Microsoft Defender Antivirus (por ejemplo, Windows 11 Home). Puede configurar las reglas de ASR localmente mediante PowerShell o directiva de grupo.

En la tabla siguiente se describe la compatibilidad del sistema operativo con las reglas de ASR en Microsoft Defender para punto de conexión, que proporciona administración centralizada, informes y alertas a través de Microsoft Intune, Microsoft Configuration Manager y el portal de Microsoft Defender:

Nombre de regla Windows 11 o posterior Windows 10 Windows Server 2019 o posterior Windows Server 2016* Windows Server 2012 R2*
Standard reglas de protección
Bloquear el abuso de controladores firmados vulnerables explotados (dispositivo) Y 1709 o posterior Y Windows Server 1803 (SAC) o posterior Y
Bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows Y 1803 o posterior v v v
Bloquear la persistencia a través de la suscripción de eventos WMI Y 1903 o posterior Windows Server 1903 (SAC) o posterior N N
Otras reglas de ASR
Impedir que Adobe Reader cree procesos secundarios Y 1809 o posterior v v v
Impedir que todas las aplicaciones de Office creen procesos secundarios Y 1709 o posterior v v v
Bloquear el contenido ejecutable del cliente de correo electrónico y el correo web Y 1709 o posterior v v v
Impedir que los archivos ejecutables se ejecuten a menos que cumplan un criterio de prevalencia, edad o lista de confianza Y 1803 o posterior v v v
Bloquear la ejecución de scripts potencialmente ofuscados Y 1709 o posterior v v v
Impedir que JavaScript o VBScript inicien contenido ejecutable descargado Y 1709 o posterior v N N
Impedir que las aplicaciones de Office creen contenido ejecutable Y 1709 o posterior v v v
Impedir que las aplicaciones de Office inserten código en otros procesos Y 1709 o posterior v v v
Impedir que la aplicación de comunicación de Office cree procesos secundarios Y 1709 o posterior v v v
Bloquear las creaciones de procesos que se originen a partir de comandos PSExec y WMI Y 1803 o posterior v v v
Bloquear el reinicio de la máquina en modo seguro Y 1709 o posterior v v v
Bloquear procesos que no son de confianza y no firmados que se ejecutan desde USB Y 1709 o posterior v v v
Bloquear el uso de herramientas del sistema copiadas o suplantadas Y 1709 o posterior v v v
Bloquear la creación de WebShell para servidores N/D N/D Solo servidores de Exchange Solo servidores de Exchange N
Bloquear llamadas API de Win32 desde macros de Office Y 1709 o posterior N/D N/D N/D
Uso de protección avanzada contra ransomware Y 1803 o posterior v v v

*Las reglas de ASR admitidas en Windows Server 2016 y Windows Server 2012 R2 requieren la incorporación mediante el paquete de solución unificado moderno. Para obtener más información, vea Nueva funcionalidad de Windows Server 2012 R2 y 2016 en la solución unificada moderna.

Compatibilidad con métodos de implementación para reglas ASR

Aunque Defender para punto de conexión admite reglas ASR, necesita un servicio independiente para implementar las reglas en los dispositivos. Los métodos admitidos para implementar reglas ASR se describen en la tabla siguiente.

Nombre de regla Intune Administrador de configuración MDM CSP Directiva de grupo centralizado
Standard reglas de protección
Bloquear el abuso de controladores firmados vulnerables explotados (dispositivo) v N v v
Bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows Y 1802 o posterior v v
Bloquear la persistencia a través de la suscripción de eventos WMI v N v v
Otras reglas de ASR
Impedir que Adobe Reader cree procesos secundarios v N v v
Impedir que todas las aplicaciones de Office creen procesos secundarios Y 1710 o posterior v v
Bloquear el contenido ejecutable del cliente de correo electrónico y el correo web Y 1710 o posterior v v
Impedir que los archivos ejecutables se ejecuten a menos que cumplan un criterio de prevalencia, edad o lista de confianza[1] Y 1802 o posterior v v
Bloquear la ejecución de scripts potencialmente ofuscados Y 1710 o posterior v v
Impedir que JavaScript o VBScript inicien contenido ejecutable descargado Y 1710 o posterior v v
Impedir que las aplicaciones de Office creen contenido ejecutable Y 1710 o posterior v v
Impedir que las aplicaciones de Office inserten código en otros procesos Y 1710 o posterior v v
Impedir que la aplicación de comunicación de Office cree procesos secundarios v N v v
Bloquear las creaciones de procesos que se originen a partir de comandos PSExec y WMI v N v v
Bloquear el reinicio de la máquina en modo seguro v N v v
Bloquear procesos que no son de confianza y no firmados que se ejecutan desde USB Y 1802 o posterior v v
Bloquear el uso de herramientas del sistema copiadas o suplantadas v N v v
Bloquear la creación de WebShell para servidores v N v v
Bloquear llamadas API de Win32 desde macros de Office Y 1710 o posterior v v
Uso de protección avanzada contra ransomware Y 1802 o posterior v v

Sugerencia

También puede configurar las reglas de ASR localmente en dispositivos individuales mediante directiva de grupo o PowerShell. Todos los métodos admiten todas las reglas de ASR en dispositivos locales.

1 Actualmente, es posible que esta regla de ASR no esté disponible en la configuración de la directiva de ASR Intune debido a un problema de back-end conocido. Sin embargo, la regla está disponible a través de los otros métodos de configuración de directiva de ASR disponibles o en las directivas de ASR Intune existentes creadas antes del problema.

Alertas y notificaciones de acciones de regla de ASR

En la tabla siguiente se describe la organización y las alertas locales que pueden generar las reglas de ASR activas.

  • El valor de alertas de EDR indica si la regla ASR en el modo Bloquear o Advertir genera alertas de detección y respuesta de puntos de conexión (EDR) en Defender para punto de conexión.
  • El valor Notificaciones de usuario indica si la regla ASR admite elementos emergentes de notificación de usuario en modo Bloquear o Advertir (si la regla admite el modo Advertir ).
Nombre de regla Alertas de EDR Usuario
notificaciones
Standard reglas de protección
Bloquear el abuso de controladores firmados vulnerables explotados (dispositivo) N v
Bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows[¹] N N
Bloquear la persistencia a través de la suscripción de eventos WMI v v
Otras reglas de ASR
Impedir que Adobe Reader cree procesos secundarios[²] v v
Impedir que todas las aplicaciones de Office creen procesos secundarios N v
Bloquear el contenido ejecutable del cliente de correo electrónico y el correo web[²] v v
Impedir que los archivos ejecutables se ejecuten a menos que cumplan un criterio de prevalencia, edad o lista de confianza N v
Bloquear la ejecución de scripts potencialmente ofuscados v v
Impedir que JavaScript o VBScript inicien contenido ejecutable descargado[²] v v
Impedir que las aplicaciones de Office creen contenido ejecutable N v
Impedir que las aplicaciones de Office inserten código en otros procesos[¹] N v
Impedir que la aplicación de comunicación de Office cree procesos secundarios N v
Bloquear las creaciones de procesos que se originen a partir de comandos PSExec y WMI N v
Bloquear el reinicio de la máquina en modo seguro N N
Bloquear procesos que no son de confianza y no firmados que se ejecutan desde USB v v
Bloquear el uso de herramientas del sistema copiadas o suplantadas N v
Bloquear la creación de WebShell para servidores N N
Bloquear llamadas API de Win32 desde macros de Office v N
Uso de protección avanzada contra ransomware v v

¹ Esta regla ASR no admite el modo de advertencia .

² Esta regla de ASR en el modo Bloquear o Advertir tiene los siguientes requisitos adicionales en el nivel de protección en la nube en Microsoft Defender Antivirus:

  • Las alertas de EDR solo se generan cuando el nivel de protección en la nube en el dispositivo es Alta más o Tolerancia cero.
  • Los elementos emergentes de notificación de usuario solo se generan cuando el nivel de protección en la nube del dispositivo es Alta, Alta más o Tolerancia cero.

Detalles de la regla ASR

Standard reglas de protección

Bloquear el abuso de controladores firmados vulnerables explotados (dispositivo)

Las aplicaciones locales con privilegios suficientes pueden aprovechar los controladores firmados vulnerables para obtener acceso al kernel del sistema operativo. Los controladores firmados vulnerables permiten a los atacantes deshabilitar o eludir las soluciones de seguridad, lo que finalmente conduce a un riesgo para el sistema.

Esta regla de ASR impide que las aplicaciones guarden controladores firmados vulnerables en el equipo. No impide la carga de controladores existentes ya en el equipo.

  • Microsoft Intune nombre:Block abuse of exploited vulnerable signed drivers (Device)
  • Microsoft Configuration Manager nombre: n/a
  • GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5
  • Tipo de acción de búsqueda avanzada:
    • AsrVulnerableSignedDriverAudited
    • AsrVulnerableSignedDriverBlocked
  • Dependencias: Ninguna

Nota:

Bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows

Nota:

Si ha habilitado la protección de la autoridad de seguridad local (LSA) (recomendado, junto con Credential Guard):

  • Esta regla de ASR no es necesaria.
  • Esta regla de ASR no proporciona protección adicional (la regla ASR y la protección de LSA funcionan de forma similar).
  • Esta regla de ASR se clasifica como no aplicable en la configuración de administración de Defender para punto de conexión en el portal de Microsoft Defender.

Esta regla ASR ayuda a evitar el robo de credenciales mediante el bloqueo del servicio de subsistema de autoridad de seguridad local (LSASS). LSASS autentica a los usuarios que inician sesión en equipos Windows. Normalmente, Credential Guard en Windows evita los intentos de extraer credenciales de LSASS.

Muchos procesos realizan llamadas innecesarias a LSASS para obtener derechos de acceso que no son necesarios. Esta actividad genera un considerable ruido de regla de ASR, pero no bloquea la funcionalidad. Por ejemplo, Google Chrome actualiza el acceso innecesario a LSASS, ya que las contraseñas se almacenan en LSASS en el dispositivo. La activación de esta regla ASR en el dispositivo impide que las actualizaciones de Chrome accedan a LSASS, pero no impide que Chrome se actualice. Estos eventos de regla de ASR son buenos porque el proceso de actualización de software de Chrome no debe acceder a LSASS.

Para obtener información sobre los tipos de derechos que se suelen solicitar en las llamadas de proceso a LSASS, consulte Seguridad de procesos y derechos de acceso.

Algunas organizaciones no pueden habilitar Credential Guard debido a problemas de compatibilidad con controladores de tarjeta inteligente personalizados u otros programas que se cargan en el LSA. En estos casos, los atacantes pueden usar herramientas como Mimikatz para extraer contraseñas de texto no cifrado y hashES NTLM de LSASS.

Si no puede habilitar la protección de LSA o Credential Guard, puede configurar esta regla para proporcionar una protección equivalente contra el malware que tiene como destino lsass.exe.

  • Microsoft Intune nombre:Block credential stealing from the Windows local security authority subsystem
  • Microsoft Configuration Manager nombre:Block credential stealing from the Windows local security authority subsystem
  • GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
  • Tipo de acción de búsqueda avanzada:
    • AsrLsassCredentialTheftAudited
    • AsrLsassCredentialTheftBlocked
  • Dependencias: antivirus de Microsoft Defender

Nota:

  • Esta regla de ASR no admite el modo de advertencia .
  • Esta regla de ASR genera un gran volumen de eventos de auditoría, casi todos los cuales son seguros de omitir cuando la regla está habilitada en modo de bloque . Puede optar por omitir la evaluación del modo de auditoría y continuar con la implementación en modo de bloque. Microsoft recomienda empezar con un pequeño conjunto de dispositivos y expandirse gradualmente para cubrir el resto.
  • Esta regla de ASR suprime las alertas y las ventanas emergentes de notificaciones de usuario para procesos descriptivos y acciones de bloque duplicadas.
  • Esta regla de ASR bloquea el acceso a la memoria del proceso LSASS. No impide que los procesos se ejecuten. Cuando esta regla de ASR bloquea procesos como svchost.exe, significa que el proceso no puede acceder a la memoria del proceso LSASS. A menudo, puede omitir de forma segura el bloqueo de estos procesos mediante esta regla de ASR.
  • Algunas aplicaciones enumeran todos los procesos en ejecución e intentan abrirlos con permisos exhaustivos. Esta regla de ASR deniega las acciones de proceso abierto de la aplicación y registra los detalles en el registro de seguridad en Windows Visor de eventos. Esta regla puede generar numerosos ruidos. Si tiene una aplicación que simplemente enumera LSASS, pero no tiene ningún efecto real en la funcionalidad, no es necesario agregarla a la lista de exclusión. Por sí sola, esta entrada del registro de eventos no indica necesariamente una amenaza malintencionada.
  • Esta regla de ASR tiene problemas con Quest Dirsync Password Sync. Para obtener más información, consulta Dirsync Password Sync isn't working when Windows Defender is installed, error: "Error de VirtualAllocEx: 5" (4253914).
  • Esta regla tiene compatibilidad con exclusión limitada. Para obtener más información, consulte Exclusiones de archivos y carpetas para las reglas de ASR.

Bloquear la persistencia a través de la suscripción de eventos WMI

Esta regla de ASR evita que el malware abuse de WMI para obtener persistencia en los dispositivos.

Las amenazas sin archivos usan varias tácticas para permanecer ocultos, evitar ser vistos en el sistema de archivos y obtener control periódico. Algunas amenazas pueden abusar del repositorio WMI y el modelo de eventos para permanecer ocultas.

  • Microsoft Intune nombre:Block persistence through WMI event subscription
  • Microsoft Configuration Manager nombre: n/a
  • GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b
  • Tipo de acción de búsqueda avanzada:
    • AsrPersistenceThroughWmiAudited
    • AsrPersistenceThroughWmiBlocked
  • Dependencias: Microsoft Defender Antivirus, RPC

Nota:

  • Esta regla no se admite cuando se implementa a través de Microsoft Intune para Windows Server 2012 R2 o Windows Server 2016 mediante la solución unificada moderna.
  • Si usa Microsoft Configuration Manager, Microsoft recomienda realizar pruebas exhaustivas de esta regla de ASR en modo auditoría antes de pasar al modo de bloqueo. El cliente Administrador de configuración se basa en gran medida en WMI.
  • Esta regla tiene compatibilidad con exclusión limitada. Para obtener más información, consulte Exclusiones de archivos y carpetas para las reglas de ASR.

Otras reglas de ASR

Impedir que Adobe Reader cree procesos secundarios

Esta regla ASR evita ataques al impedir que Adobe Reader cree procesos.

El malware puede descargar e iniciar cargas útiles y salir de Adobe Reader a través de ingeniería social o vulnerabilidades de seguridad. Al impedir que Adobe Reader genere procesos secundarios, se impide la propagación del malware que intenta usar Adobe Reader como vector de ataque.

  • Microsoft Intune nombre:Block Adobe Reader from creating child processes
  • Microsoft Configuration Manager nombre: n/a
  • GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
  • Tipo de acción de búsqueda avanzada:
    • AsrAdobeReaderChildProcessAudited
    • AsrAdobeReaderChildProcessBlocked
  • Dependencias: antivirus de Microsoft Defender

Nota:

Impedir que todas las aplicaciones de Office creen procesos secundarios

Esta regla impide que las aplicaciones de Office creen procesos secundarios. Las aplicaciones de Office incluyen Word, Excel, PowerPoint, OneNote y Access.

La creación de procesos secundarios malintencionados es una estrategia de malware común. El malware que abusa de Office como vector a menudo ejecuta macros de VBA y aprovecha el código para descargar e intentar ejecutar más cargas. Sin embargo, algunas aplicaciones de línea de negocio legítimas también pueden generar procesos secundarios con fines benignos. Por ejemplo, generar un símbolo del sistema o usar PowerShell para configurar la configuración del Registro.

  • Microsoft Intune nombre:Block all Office applications from creating child processes
  • Microsoft Configuration Manager nombre:Block Office application from creating child processes
  • GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a
  • Tipo de acción de búsqueda avanzada:
    • AsrOfficeChildProcessAudited
    • AsrOfficeChildProcessBlocked
  • Dependencias: antivirus de Microsoft Defender

Nota:

Esta regla solo se aplica si Office está instalado en las %ProgramFiles% ubicaciones o %ProgramFiles(x86)% (de forma predeterminada, C:\Program Files y C:\Program Files (x86)).

Bloquear el contenido ejecutable del cliente de correo electrónico y el correo web

Esta regla impide que el correo electrónico abierto con Microsoft Outlook, Outlook.com y otros proveedores de correo web populares propague los siguientes tipos de archivo:

  • Archivos ejecutables (por ejemplo, .exe, .dll o .scr).

  • Archivos de script (por ejemplo, .ps1, .vbs o .js).

  • Archivo archivos (por ejemplo, .zip).

  • Microsoft Intune nombre:Block executable content from email client and webmail

  • Microsoft Configuration Manager nombre:Block executable content from email client and webmail

  • GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550

  • Tipo de acción de búsqueda avanzada:

    • AsrExecutableEmailContentAudited
    • AsrExecutableEmailContentBlocked

  • Dependencias: antivirus de Microsoft Defender

Nota:

  • Esta regla de ASR en el modo Bloquear o Advertir tiene requisitos adicionales en el nivel de protección en la nube en Microsoft Defender Antivirus:
    • Las alertas de EDR solo se generan cuando el nivel de protección en la nube en el dispositivo es Alta más o Tolerancia cero.
    • Los elementos emergentes de notificación de usuario solo se generan cuando el nivel de protección en la nube del dispositivo es Alta, Alta más o Tolerancia cero.
  • Esta regla de ASR tiene las siguientes descripciones alternativas:
    • Intune (perfiles de configuración)::Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
    • Administrador de configuración:Block executable content download from email and webmail clients
    • directiva de grupo:Block executable content from email client and webmail

Impedir que los archivos ejecutables se ejecuten a menos que cumplan un criterio de prevalencia, edad o lista de confianza

Sugerencia

Actualmente, es posible que esta regla de ASR no esté disponible en la configuración de la directiva de ASR de Intune debido a un problema de back-end conocido. Sin embargo, la regla está disponible a través de los otros métodos de configuración de directiva de ASR disponibles o en las directivas de ASR de Intune existentes creadas antes del problema.

Esta regla de ASR bloquea el inicio de los archivos ejecutables (por ejemplo, .exe, .dll o .scr). Iniciar archivos ejecutables desconocidos o no de confianza puede ser arriesgado, ya que inicialmente no está claro si los archivos son malintencionados.

  • Microsoft Intune nombre:Block executable files from running unless they meet a prevalence, age, or trusted list criterion
  • Microsoft Configuration Manager nombre:Block executable files from running unless they meet a prevalence, age, or trusted list criteria
  • GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25
  • Tipo de acción de búsqueda avanzada:
    • AsrUntrustedExecutableAudited
    • AsrUntrustedExecutableBlocked
  • Dependencias: Microsoft Defender Antivirus, Cloud Protection

Nota:

Bloquear la ejecución de scripts potencialmente ofuscados

Esta regla de ASR detecta propiedades sospechosas dentro de un script ofuscado.

La ofuscación de scripts es una técnica común que usan los autores de malware y las aplicaciones legítimas para ocultar la propiedad intelectual o reducir los tiempos de carga de scripts. Los autores de malware también usan ofuscación para dificultar la lectura de código malintencionado, lo que dificulta el examen de cerca por parte de los humanos y el software de seguridad.

  • Microsoft Intune nombre:Block execution of potentially obfuscated scripts
  • Microsoft Configuration Manager nombre:Block execution of potentially obfuscated scripts
  • GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc
  • Tipo de acción de búsqueda avanzada:
    • AsrObfuscatedScriptAudited
    • AsrObfuscatedScriptBlocked
  • Dependencias: Microsoft Defender Antivirus, Interfaz de examen antimalware (AMSI), Protección en la nube

Nota:

Impedir que JavaScript o VBScript inicien contenido ejecutable descargado

Esta regla de ASR impide que los scripts inicien contenido descargado potencialmente malintencionado. El malware escrito en JavaScript o VBScript a menudo actúa como descargador para capturar e iniciar otro malware desde Internet. Aunque no es común, las aplicaciones de línea de negocio a veces usan scripts para descargar e iniciar instaladores.

  • Microsoft Intune nombre:Block JavaScript or VBScript from launching downloaded executable content
  • Microsoft Configuration Manager nombre:Block JavaScript or VBScript from launching downloaded executable content
  • GUID: d3e037e1-3eb8-44c8-a917-57927947596d
  • Tipo de acción de búsqueda avanzada:
    • AsrScriptExecutableDownloadAudited
    • AsrScriptExecutableDownloadBlocked
  • Dependencias: Microsoft Defender Antivirus, Interfaz de examen antimalware (AMSI)

Nota:

  • Esta regla no se admite cuando se implementa a través de Microsoft Intune para Windows Server 2012 R2 o Windows Server 2016 mediante la solución unificada moderna.

  • Esta regla de ASR en el modo Bloquear o Advertir tiene requisitos adicionales en el nivel de protección en la nube en Microsoft Defender Antivirus:

    • Las alertas de EDR solo se generan cuando el nivel de protección en la nube en el dispositivo es Alta más o Tolerancia cero.
    • Los elementos emergentes de notificación de usuario solo se generan cuando el nivel de protección en la nube del dispositivo es Alta, Alta más o Tolerancia cero.

Impedir que las aplicaciones de Office creen contenido ejecutable

Esta regla de ASR impide que las aplicaciones de Office (por ejemplo, Word, Excel y PowerPoint) se usen como vector para guardar componentes malintencionados en el disco. Estos componentes malintencionados pueden sobrevivir a un reinicio del equipo y persistir en el sistema. Esta regla se defiende de esta técnica de persistencia mediante:

  • Bloquear el acceso (abrir o ejecutar) al código escrito en el disco.

  • Bloquear la ejecución de archivos que no son de confianza guardados por macros de Office que pueden ejecutarse en archivos de Office.

  • Microsoft Intune nombre:Block Office applications from creating executable content

  • Microsoft Configuration Manager nombre:Block Office applications from creating executable content

  • GUID: 3b576869-a4ec-4529-8536-b80a7769e899

  • Tipo de acción de búsqueda avanzada:

    • AsrExecutableOfficeContentAudited
    • AsrExecutableOfficeContentBlocked

  • Dependencias: Microsoft Defender Antivirus, RPC

Nota:

Esta regla tiene compatibilidad con exclusión limitada. Para obtener más información, consulte Exclusiones de archivos y carpetas para las reglas de ASR.

Esta regla de ASR no se ve afectada por la ubicación de instalación de Office.

Impedir que las aplicaciones de Office inserten código en otros procesos

Esta regla de ASR bloquea los intentos de inyección de código de aplicaciones de Office en otros procesos. Los atacantes pueden intentar usar aplicaciones de Office para migrar código malintencionado a otros procesos mediante la inyección de código, de modo que el código pueda enmascararse como un proceso limpio. No hay ningún propósito comercial legítimo conocido para usar la inyección de código.

  • Microsoft Intune nombre:Block Office applications from injecting code into other processes
  • Microsoft Configuration Manager nombre:Block Office applications from injecting code into other processes
  • GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
  • Tipo de acción de búsqueda avanzada:
    • AsrOfficeProcessInjectionAudited
    • AsrOfficeProcessInjectionBlocked
  • Dependencias: antivirus de Microsoft Defender

Nota:

  • Esta regla de ASR no admite el modo de advertencia .
  • Esta regla de ASR se aplica a Word, Excel, OneNote y PowerPoint.
  • Esta regla de ASR requiere reiniciar Aplicaciones Microsoft 365 (aplicaciones de Office) para que los cambios de configuración surtan efecto.
  • Esta regla tiene compatibilidad con exclusión limitada. Para obtener más información, consulte Exclusiones de archivos y carpetas para las reglas de ASR.
  • Esta regla de ASR no es compatible con las siguientes aplicaciones:
  • Esta regla de ASR solo se aplica si Office está instalado en las %ProgramFiles% ubicaciones o %ProgramFiles(x86)% (de forma predeterminada, C:\Program Files y C:\Program Files (x86)).

Impedir que la aplicación de comunicación de Office cree procesos secundarios

Esta regla de ASR impide que Outlook cree procesos secundarios, a la vez que permite funciones legítimas de Outlook. Esta regla de ASR protege contra:

  • Ataques de ingeniería social e impide que el código de explotación abuse de vulnerabilidades en Outlook.

  • Las reglas y los formularios de Outlook aprovechan las vulnerabilidades de seguridad que los atacantes pueden usar cuando las credenciales de un usuario están en peligro.

  • Microsoft Intune nombre:Block Office communication application from creating child processes

  • Microsoft Configuration Manager nombre: n/a

  • GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869

  • Tipo de acción de búsqueda avanzada:

    • AsrOfficeCommAppChildProcessAudited
    • AsrOfficeCommAppChildProcessBlocked

  • Dependencias: antivirus de Microsoft Defender

Nota:

Esta regla tiene compatibilidad con exclusión limitada. Para obtener más información, consulte Exclusiones de archivos y carpetas para las reglas de ASR.

Esta regla solo se aplica si Office está instalado en las %ProgramFiles% ubicaciones o %ProgramFiles(x86)% (de forma predeterminada, C:\Program Files y C:\Program Files (x86)).

Bloquear las creaciones de procesos que se originen a partir de comandos PSExec y WMI

Importante

Si usa Microsoft Configuration Manager, no use otros métodos de implementación disponibles para habilitar esta regla en dispositivos administrados. El cliente Administrador de configuración se basa en gran medida en WMI.

Esta regla de ASR impide que se ejecuten los procesos creados a través de PsExec y WMI . PsExec y WMI pueden ejecutar código de forma remota. El malware puede usar PsExec y WMI para el comando y el control, o para propagar infecciones de red.

  • Microsoft Intune nombre:Block process creations originating from PSExec and WMI commands
  • Microsoft Configuration Manager nombre: n/a
  • GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c
  • Tipo de acción de búsqueda avanzada:
    • AsrPsexecWmiChildProcessAudited
    • AsrPsexecWmiChildProcessBlocked
  • Dependencias: antivirus de Microsoft Defender

Nota:

Esta regla tiene compatibilidad con exclusión limitada. Para obtener más información, consulte Exclusiones de archivos y carpetas para las reglas de ASR.

Bloquear el reinicio de la máquina en modo seguro

Esta regla de ASR impide que los comandos que se suelen abusar como bcdedit y bootcfg reinicien equipos Windows en modo seguro. En el modo seguro, muchos productos de seguridad se deshabilitan o se ejecutan con una funcionalidad limitada. El modo seguro permite a los atacantes iniciar aún más comandos de manipulación, o ejecutar y cifrar todos los archivos de la máquina.

El modo seguro sigue siendo accesible manualmente desde el entorno de recuperación de Windows.

  • Microsoft Intune nombre:Block rebooting machine in Safe Mode
  • Microsoft Configuration Manager nombre: n/a
  • GUID: 33ddedf1-c6e0-47cb-833e-de6133960387
  • Tipo de acción de búsqueda avanzada:
    • AsrSafeModeRebootedAudited
    • AsrSafeModeRebootBlocked
    • AsrSafeModeRebootWarnBypassed
  • Dependencias: antivirus de Microsoft Defender

Nota:

Actualmente, Administración de vulnerabilidades de Microsoft Defender no reconoce esta regla. El informe Reglas de reducción de la superficie expuesta a ataques (ASR) muestra esta regla como No aplicable.

Bloquear procesos que no son de confianza y no firmados que se ejecutan desde USB

Esta regla ASR impide que los archivos ejecutables no firmados o que no sean de confianza (por ejemplo, .exe, .dll o .scr) se ejecuten desde unidades extraíbles USB, incluidas las tarjetas SD.

Esta regla ASR no impide que los archivos se copien de la unidad USB al disco. Impide que los archivos copiados se ejecuten desde el disco.

  • Microsoft Intune nombre:Block untrusted and unsigned processes that run from USB
  • Microsoft Configuration Manager nombre:Block untrusted and unsigned processes that run from USB
  • GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
  • Tipo de acción de búsqueda avanzada:
    • AsrUntrustedUsbProcessAudited
    • AsrUntrustedUsbProcessBlocked
  • Dependencias: antivirus de Microsoft Defender

Bloquear el uso de herramientas del sistema copiadas o suplantadas

Esta regla de ASR bloquea la propagación y el uso de archivos ejecutables identificados como copias (duplicados o imposters) de las herramientas del sistema de Windows. Algunos programas malintencionados pueden intentar copiar o suplantar las herramientas del sistema de Windows para evitar la detección o obtener privilegios. Permitir estos archivos ejecutables puede provocar posibles ataques.

  • Microsoft Intune nombre:Block use of copied or impersonated system tools
  • Microsoft Configuration Manager nombre: n/a
  • GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
  • Tipo de acción de búsqueda avanzada:
    • AsrAbusedSystemToolAudited
    • AsrAbusedSystemToolBlocked
    • AsrAbusedSystemToolWarnBypassed
  • Dependencias: antivirus de Microsoft Defender

Nota:

Actualmente, Administración de vulnerabilidades de Microsoft Defender no reconoce esta regla. El informe Reglas de reducción de la superficie expuesta a ataques (ASR) muestra esta regla como No aplicable.

Bloquear la creación de WebShell para servidores

Esta regla de ASR bloquea la creación de scripts de shell web en servidores Windows que ejecutan Microsoft Exchange. Un script de shell web es un script diseñado que permite a un atacante controlar el servidor en peligro. Un script de shell web podría incluir la siguiente funcionalidad:

  • Recibir y ejecutar comandos malintencionados.

  • Descargue y ejecute archivos malintencionados.

  • Robar y filtrar credenciales e información confidencial.

  • Identificar posibles destinos.

  • Microsoft Intune nombre:Block Webshell creation for Servers

  • Microsoft Configuration Manager nombre: n/a

  • GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6

  • Tipo de acción de búsqueda avanzada: n/a

  • Dependencias: antivirus de Microsoft Defender

Nota:

  • Esta regla no se admite cuando se implementa a través de Microsoft Intune para Windows Server 2012 R2 o Windows Server 2016 mediante la solución unificada moderna.
  • Si administra reglas de ASR en Microsoft Defender para punto de conexión, no configure este ASR en directiva de grupo u otra configuración local (deje el valor como Not Configured). Cualquier otro valor (por ejemplo, Enabled o Disabled) puede provocar conflictos e impedir que la regla se aplique correctamente.
  • Actualmente, Administración de vulnerabilidades de Microsoft Defender no reconoce esta regla. El informe Reglas de reducción de la superficie expuesta a ataques (ASR) muestra esta regla como No aplicable.

Bloquear llamadas API de Win32 desde macros de Office

Office Visual Basic para Aplicaciones (VBA) habilita las llamadas API de Win32. Esta regla ASR impide que las macros de VBA llamen a las API de Win32. El malware puede abusar de esta funcionalidad, como llamar a las API win32 para iniciar código de shell malintencionado sin escribir nada directamente en el disco.

La mayoría de las organizaciones no requieren llamadas API win32 desde macros vba, incluso si usan macros de otras maneras.

  • Microsoft Intune nombre:Block Win32 API calls from Office macros
  • Microsoft Configuration Manager nombre:Block Win32 API calls from Office macros
  • GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
  • Tipo de acción de búsqueda avanzada:
    • AsrOfficeMacroWin32ApiCallsAudited
    • AsrOfficeMacroWin32ApiCallsBlocked
  • Dependencias: Microsoft Defender Antivirus, Interfaz de examen antimalware (AMSI)

Uso de protección avanzada contra ransomware

Nota:

Esta regla ASR proporciona una capa adicional de protección contra ransomware. Usa heurística de cliente y nube para determinar si un archivo es similar a un ransomware. Esta regla no bloquea los archivos que tienen una o varias de las características siguientes:

  • Se ha detectado que el archivo no está en la nube de Microsoft.
  • El archivo es un archivo firmado válido.
  • El archivo es lo suficientemente frecuente como para no ser considerado como ransomware.

Esta regla no solo bloquea los archivos con mala reputación. En su lugar, la regla se equivoca por el lado de la precaución y también bloquea los archivos que aún no tienen una reputación positiva. Normalmente, los bloques en archivos benignos y desconocidos por esta regla finalmente se resuelven por sí mismos. Los valores de reputación y confianza del archivo aumentan incrementalmente a medida que aumenta el uso no problemático.

Si los bloques en archivos benignos y desconocidos no se resuelven a tiempo, puede configurar una exclusión de reglas por ASR para esta regla o usar la acción Permitir para un indicador de riesgo (IoC).

  • Microsoft Intune nombre:Use advanced protection against ransomware
  • Microsoft Configuration Manager nombre:Use advanced protection against ransomware
  • GUID: c1db55ab-c21a-4637-bb3f-a12568109d35
  • Tipo de acción de búsqueda avanzada:
    • AsrRansomwareAudited
    • AsrRansomwareBlocked
  • Dependencias: Microsoft Defender Antivirus, Cloud Protection

Contenido relacionado

  • Last updated on