Migración desde un HIPS que no es de Microsoft a reglas de reducción de superficie expuesta a ataques

Se aplica a:

• Microsoft Defender para punto de conexión Plan 1
• Microsoft Defender para punto de conexión Plan 2

Este artículo le ayuda a asignar reglas comunes a Microsoft Defender para punto de conexión.

Escenarios al migrar desde un producto HIPS que no es de Microsoft a reglas de reducción de superficie expuesta a ataques

Bloquear la creación de archivos específicos

• Se aplica a todos los procesos
• Operación: creación de archivos
• Ejemplos de archivos/carpetas, claves/valores del Registro, procesos, servicios- *.zepto, *.odin, *.locky, *.jaff, *.lukitus, *.wnry, *.krab
• Reglas de reducción de superficie expuesta a ataques: las reglas de reducción de superficie expuesta a ataques bloquean las técnicas de ataque y no los indicadores de peligro (IOC). Bloquear una extensión de archivo específica no siempre es útil, ya que no impide que un dispositivo se ponga en peligro. Solo frustra parcialmente un ataque hasta que los atacantes crean un nuevo tipo de extensión para la carga.
• Otras características recomendadas: se recomienda encarecidamente tener habilitado Microsoft Defender Antivirus, junto con Cloud Protection y análisis de comportamiento. Se recomienda usar otra prevención, como la regla de reducción de superficie expuesta a ataques Use advanced protection against ransomware, que proporciona un mayor nivel de protección contra ataques de ransomware. Además, Microsoft Defender para punto de conexión supervisa muchas de estas claves del Registro, como las técnicas ASEP, que desencadenan alertas específicas. Las claves del Registro usadas requieren un mínimo de privilegios de Administración local o instalador de confianza. Se recomienda usar un entorno bloqueado con derechos o cuentas administrativas mínimos. Se pueden habilitar otras configuraciones del sistema, como Deshabilitar SeDebug para roles no requeridos que forman parte de nuestras recomendaciones de seguridad más amplias.

Bloquear la creación de claves específicas del Registro

• Se aplica a todos los procesos
• Procesos: N/A
• Operación: modificaciones del Registro
• Ejemplos de archivos/carpetas, claves/valores del Registro, procesos, servicios- \Software,HKCU\Environment\UserInitMprLogonScript,HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\ATs*\StartExe, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*\Debugger, HKEY_CURRENT_USER\Software\Microsoft\HtmlHelp Author\location, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit*\MonitorProcess
• Reglas de reducción de superficie expuesta a ataques: las reglas de reducción de superficie expuesta a ataques bloquean las técnicas de ataque y no los indicadores de peligro (IOC). Bloquear una extensión de archivo específica no siempre es útil, ya que no impide que un dispositivo se ponga en peligro. Solo frustra parcialmente un ataque hasta que los atacantes crean un nuevo tipo de extensión para la carga.
• Otras características recomendadas: se recomienda encarecidamente tener habilitado Microsoft Defender Antivirus, junto con Cloud Protection y análisis de comportamiento. Se recomienda usar la prevención adicional, como la regla de reducción de superficie expuesta a ataques Use la protección avanzada contra ransomware. Esto proporciona un mayor nivel de protección contra ataques de ransomware. Además, Microsoft Defender para punto de conexión supervisa varias de estas claves del Registro, como las técnicas ASEP, que desencadenan alertas específicas. Además, las claves del Registro usadas requieren un mínimo de privilegios de Administración local o instalador de confianza. Se recomienda usar un entorno bloqueado con derechos o cuentas administrativas mínimos. Se pueden habilitar otras configuraciones del sistema, como Deshabilitar SeDebug para roles no requeridos que forman parte de nuestras recomendaciones de seguridad más amplias.

Impedir que los programas que no son de confianza se ejecuten desde unidades extraíbles

• Se aplica a programas que no son de confianza desde USB
• Procesos- *
• Operación: ejecución de procesos
• *Ejemplos de archivos/carpetas, claves/valores del Registro, procesos, servicios:-
• Reglas de reducción de superficie expuesta a ataques: las reglas de reducción de superficie expuesta a ataques tienen una regla integrada para evitar el inicio de programas no confiables y no firmados desde unidades extraíbles: Bloquear procesos que no son de confianza y no firmados que se ejecutan desde USB, GUID b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4.
• Otras características recomendadas: explore más controles para dispositivos USB y otros medios extraíbles mediante Microsoft Defender para punto de conexión:Cómo controlar dispositivos USB y otros medios extraíbles mediante Microsoft Defender para punto de conexión.

Impedir que Mshta inicie determinados procesos secundarios

• Se aplica a- Mshta
• Procesos: mshta.exe
• Operación: ejecución de procesos
• Ejemplos de archivos o carpetas, claves o valores del Registro, procesos, servicios powershell.exe, cmd.exe, regsvr32.exe
• Reglas de reducción de superficie expuesta a ataques: las reglas de reducción de superficie expuesta a ataques no contienen ninguna regla específica para evitar que los procesos secundarios mshta.exe. Este control está dentro de la competencia de Protección contra vulnerabilidades de seguridad o Windows Defender Control de aplicaciones.
• Otras características recomendadas: habilite Windows Defender Control de aplicaciones para evitar que mshta.exe se ejecuten por completo. Si su organización requiere mshta.exe para aplicaciones de línea de negocio, configure una regla específica de protección contra vulnerabilidades de seguridad de Windows Defender para evitar que mshta.exe inicie procesos secundarios.

Impedir que Outlook inicie procesos secundarios

• Se aplica a: Outlook
• Procesos: outlook.exe
• Operación: ejecución de procesos
• Ejemplos de archivos o carpetas, claves o valores del Registro, procesos, servicios powershell.exe
• Reglas de reducción de superficie expuesta a ataques: las reglas de reducción de superficie expuesta a ataques tienen una regla integrada para evitar que las aplicaciones de comunicación de Office (Outlook, Skype y Teams) inicien procesos secundarios: Bloquear la creación de procesos secundarios en la aplicación de comunicación de Office, GUID 26190899-1602-49e8-8b27-eb1d0a1ce869.
• Otras características recomendadas: se recomienda habilitar el modo de lenguaje restringido de PowerShell para minimizar la superficie expuesta a ataques desde PowerShell.

Impedir que las aplicaciones de Office inicien procesos secundarios

• Se aplica a- Office
• Procesos: winword.exe, powerpnt.exe, excel.exe
• Operación: ejecución de procesos
• Ejemplos de archivos o carpetas, claves o valores del Registro, procesos, servicios powershell.exe, cmd.exe, wscript.exe, mshta.exe, EQNEDT32.EXE, regsrv32.exe
• Reglas de reducción de superficie expuesta a ataques: las reglas de reducción de superficie expuesta a ataques tienen una regla integrada para evitar que las aplicaciones de Office inicien procesos secundarios: Bloquear que todas las aplicaciones de Office creen procesos secundarios, GUID d4f940ab-401b-4efc-aadc-ad5f3c50688a.
• Otras características recomendadas: N/A

Impedir que las aplicaciones de Office creen contenido ejecutable

• Se aplica a- Office
• Procesos: winword.exe, powerpnt.exe, excel.exe
• Operación: creación de archivos
• Ejemplos de archivos/carpetas, claves/valores del Registro, procesos, servicios: C:\Users*\AppData**.exe, C:\ProgramData**.exe, C:\ProgramData**.com, C:\UsersAppData\Local\Temp**.com, C:\Users\Downloads**.exe, C:\Users*\AppData**.scf, C:\ProgramData**.scf, C:\Users\Public*.exe, C:\Users*\Desktop***.exe
• Reglas de reducción de superficie expuesta a ataques- N/A.

Impedir que Wscript lea determinados tipos de archivos

• Se aplica a: Wscript
• Procesos: wscript.exe
• Operación: lectura de archivos
• Ejemplos de archivos o carpetas, claves o valores del Registro, procesos, servicios: C:\Users*\AppData**.js, C:\Users*\Downloads**.js
• Reglas de reducción de superficie expuesta a ataques: debido a problemas de confiabilidad y rendimiento, las reglas de reducción de superficie expuesta a ataques no tienen la capacidad de impedir que un proceso específico lea un tipo de archivo de script determinado. Tenemos una regla para evitar vectores de ataque que puedan originarse en estos escenarios. El nombre de la regla es Bloquear JavaScript o VBScript para que no inicie contenido ejecutable descargado (GUID d3e037e1-3eb8-44c8-a917-57927947596 y la ejecución en bloque de scripts potencialmente ofuscados (GUID * 5beb7efe-fd9a-4556-801d-275e5ffc04cc*).
• Otras características recomendadas: aunque hay reglas específicas de reducción de la superficie expuesta a ataques que mitigan determinados vectores de ataque dentro de estos escenarios, es importante mencionar que AV puede inspeccionar scripts de forma predeterminada (PowerShell, Host de scripts de Windows, JavaScript, VBScript, etc.) en tiempo real, a través de la interfaz de examen antimalware (AMSI). Más información disponible aquí: Antimalware Scan Interface (AMSI).

Bloquear el inicio de procesos secundarios

• Se aplica a Adobe Acrobat
• Procesos: AcroRd32.exe, Acrobat.exe
• Operación: ejecución de procesos
• Ejemplos de archivos o carpetas, claves o valores del Registro, procesos, servicios cmd.exe, powershell.exe, wscript.exe
• Reglas de reducción de superficie expuesta a ataques: las reglas de reducción de superficie expuesta a ataques permiten impedir que Adobe Reader inicie procesos secundarios. El nombre de la regla es Bloquear Adobe Reader para crear procesos secundarios, GUID 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c.
• Otras características recomendadas: N/A

Bloquear la descarga o creación de contenido ejecutable

• Se aplica a certUtil: bloquear la descarga o creación de un archivo ejecutable
• Procesos: certutil.exe
• Operación: creación de archivos
• Ejemplos de archivos/carpetas, claves o valores del Registro, procesos, servicios- *.exe
• Reglas de reducción de superficie expuesta a ataques: las reglas de reducción de superficie expuesta a ataques no admiten estos escenarios porque forman parte de Microsoft Defender protección antivirus.
• Otras características recomendadas: Microsoft Defender Antivirus impide que CertUtil cree o descargue contenido ejecutable.

Impedir que los procesos detengan componentes críticos del sistema

• Se aplica a todos los procesos
• Procesos- *
• Operación: finalización del proceso
• Ejemplos de archivos o carpetas, claves o valores del Registro, procesos, servicios MsSense.exe, MsMpEng.exe, NisSrv.exe, svchost.exe*, services.exe, csrss.exe, smss.exe, wininit.exe, etc.
• Reglas de reducción de superficie expuesta a ataques: las reglas de reducción de superficie expuesta a ataques no admiten estos escenarios porque están protegidas con protecciones de seguridad integradas de Windows.
• Otras características recomendadas: ELAM (Early Launch AntiMalware), PPL (Protection Process Light), PPL AntiMalware Light y Protección del sistema.

Bloquear intento de proceso de inicio específico

• Se aplica a procesos específicos
• Procesos- Asignar un nombre al proceso
• Operación: ejecución de procesos
• Ejemplos de archivos o carpetas, claves o valores del Registro, procesos, servicios tor.exe, bittorrent.exe, cmd.exe, powershell.exe, etc.
• Reglas de reducción de superficie expuesta a ataques: en general, las reglas de reducción de superficie expuesta a ataques no están diseñadas para funcionar como administrador de aplicaciones.
• Otras características recomendadas: para evitar que los usuarios inicien procesos o programas específicos, se recomienda usar Windows Defender Application Control. Microsoft Defender para punto de conexión los indicadores de archivo y certificado, se pueden usar en un escenario de respuesta a incidentes (no debe verse como un mecanismo de control de aplicaciones).

Bloquear cambios no autorizados en las configuraciones de Microsoft Defender Antivirus

• Se aplica a todos los procesos
• Procesos- *
• Operación: modificaciones del Registro
• Ejemplos de archivos/carpetas, claves/valores del Registro, procesos, servicios: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware, HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Policy Manager\AllowRealTimeMonitoring, etc.
• Reglas de reducción de superficie expuesta a ataques: las reglas de reducción de superficie expuesta a ataques no cubren estos escenarios porque forman parte de la Microsoft Defender para punto de conexión protección integrada.
• Otras características recomendadas: Protección contra alteraciones (participación, administrada desde Intune) evita cambios no autorizados en las claves del Registro DisableAntiVirus, DisableAntiSpyware, DisableRealtimeMonitoring, DisableOnAccessProtection, DisableBehaviorMonitoring y DisableIOAVProtection (entre otras).

Consulte también

• Preguntas más frecuentes sobre la reducción de la superficie expuesta a ataques
• Habilitar las reglas de la reducción de superficie expuesta a ataques
• Evaluar las reglas de la reducción de la superficie expuesta a ataques

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.