Demostraciones de reglas de reducción de superficie expuesta a ataques

  • Se aplica a: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2, Microsoft Defender for Business, Microsoft Defender Antivirus, Microsoft 365 Apps

En este artículo se proporcionan archivos de prueba, scripts y procedimientos para demostrar las reglas de reducción de la superficie expuesta a ataques (ASR) en Microsoft Defender para punto de conexión.

Las reglas de ASR tienen como destino un comportamiento de software de riesgo en dispositivos Windows que los atacantes suelen aprovechar a través de malware (por ejemplo, iniciar scripts que descargan archivos, ejecutar scripts ofuscados e insertar código en otros procesos). Para obtener más información sobre las reglas de ASR, consulte Introducción a las reglas de reducción de superficie expuesta a ataques (ASR).

Requisitos previos

Comandos de PowerShell

Para habilitar todas las reglas de ASR disponibles, ejecute el siguiente comando en una ventana de PowerShell con privilegios elevados (una ventana de PowerShell que abrió después de seleccionar Ejecutar como administrador):

Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-cd74-433a-b99e-2ecdc07bfc25,33ddedf1-c6e0-47cb-833e-de6133960387,3b576869-a4ec-4529-8536-b80a7769e899,56a863a9-875e-4185-98a7-b882c64b5ce5,5beb7efe-fd9a-4556-801d-275e5ffc04cc,75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84,92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b,9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2,a8f5898e-1dc8-49a9-9878-85004b8a61e6,b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4,be9ba2d9-53ea-4cdc-84e5-9b1eeee46550,c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb,c1db55ab-c21a-4637-bb3f-a12568109d35,d1e49aac-8f56-4280-b9ba-993a6d77406c,d3e037e1-3eb8-44c8-a917-57927947596d,d4f940ab-401b-4efc-aadc-ad5f3c50688a,e6db77e5-3df2-4cf1-b95a-636979351e5b,26190899-1602-49e8-8b27-eb1d0a1ce869,7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,AuditMode,AuditMode

Los nombres de regla de ASR y los valores GUID asociados se enumeran en la sección Archivos de prueba .

Comprobación de la configuración

Para comprobar el estado de las reglas de ASR, ejecute el siguiente comando en una ventana de PowerShell con privilegios elevados:

$p = Get-MpPreference

$ids     = @($p.AttackSurfaceReductionRules_Ids)
$actions = @($p.AttackSurfaceReductionRules_Actions)

for ($i = 0; $i -lt [Math]::Min($ids.Count, $actions.Count); $i++) {
    [pscustomobject]@{
        RuleId = $ids[$i]
        Action = $actions[$i]
    }
}

Los estados de regla disponibles se describen en la tabla siguiente:

Modo Texto
valor		 Numérico
valor
Desactivado Deshabilitada 0
Habilitado en modo de bloque Habilitado 1
Habilitado en modo auditoría AuditMode 2
No configurado No configurado 5
Habilitado en modo de advertencia Advertir 6

Archivos de prueba

En la tabla siguiente se asocian los nombres de regla asr con los valores GUID correspondientes.

Sugerencia

Los vínculos de nombre de regla son vínculos a los archivos de prueba disponibles. Algunos archivos de prueba contienen varias vulnerabilidades de seguridad que desencadenan varias reglas ASR.

Los vínculos de valor GUID son vínculos a los detalles de la regla.

Valor DE GUID Nombre de regla
01443614-cd74-433a-b99e-2ecdc07bfc25 Impedir que los archivos ejecutables se ejecuten a menos que cumplan un criterio de prevalencia, edad o lista de confianza
26190899-1602-49e8-8b27-eb1d0a1ce869 Impedir que la aplicación de comunicación de Office cree procesos secundarios
33ddedf1-c6e0-47cb-833e-de6133960387 Bloquear el reinicio de la máquina en modo seguro
3b576869-a4ec-4529-8536-b80a7769e899 Impedir que las aplicaciones de Office creen contenido ejecutable
56a863a9-875e-4185-98a7-b882c64b5ce5 Bloquear el abuso de controladores firmados vulnerables explotados (dispositivo)
5beb7efe-fd9a-4556-801d-275e5ffc04cc Bloquear la ejecución de scripts potencialmente ofuscados
75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 Impedir que las aplicaciones de Office inserten código en otros procesos
7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c Impedir que Adobe Reader cree procesos secundarios
92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b Bloquear llamadas API de Win32 desde macros de Office
9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 Bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows
a8f5898e-1dc8-49a9-9878-85004b8a61e6 Bloquear la creación de WebShell para servidores
b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 Bloquear procesos que no son de confianza y no firmados que se ejecutan desde USB
be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 Bloquear el contenido ejecutable del cliente de correo electrónico y el correo web
c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb Bloquear el uso de herramientas del sistema copiadas o suplantadas
c1db55ab-c21a-4637-bb3f-a12568109d35 Uso de protección avanzada contra ransomware
d1e49aac-8f56-4280-b9ba-993a6d77406c Bloquear las creaciones de procesos que se originen a partir de comandos PSExec y WMI
d3e037e1-3eb8-44c8-a917-57927947596d Impedir que JavaScript o VBScript inicien contenido ejecutable descargado
d4f940ab-401b-4efc-aadc-ad5f3c50688a Impedir que todas las aplicaciones de Office creen procesos secundarios
e6db77e5-3df2-4cf1-b95a-636979351e5b Bloquear la persistencia a través de la suscripción de eventos WMI

Escenarios

Instalación

  1. Ejecute el siguiente comando en una ventana de PowerShell con privilegios elevados para establecer la directiva de ejecución en Sin restricciones:

    Set-ExecutionPolicy Unrestricted

  2. Descargue, extraiga y ejecute este script de instalación.

    O bien, puede realizar los siguientes pasos manuales en su lugar:

    1. Cree la carpeta C:\Demo.
    2. Guarde este archivo limpio en C:\Demo.
    3. Habilite todas las reglas mediante el comando de PowerShell.

Escenario 1: La reducción de la superficie expuesta a ataques bloquea un archivo de prueba con varias vulnerabilidades

  1. Habilite todas las reglas en modo de bloque mediante el comando de PowerShell.
  2. Descargue y abra los archivos o documentos de prueba. Si se le solicita, habilite la edición y el contenido.

Resultado esperado:

Debería ver inmediatamente una notificación "Acción bloqueada".

Escenario 2: la regla ASR bloquea el archivo de prueba con la vulnerabilidad correspondiente

  1. Configure la regla individual que desea probar. Por ejemplo, para habilitar la regla Impedir que todas las aplicaciones de Office creen procesos secundarios , ejecute el siguiente comando en una ventana de PowerShell con privilegios elevados:

    Add-MpPreference -AttackSurfaceReductionRules_Ids d4f940ab-401b-4efc-aadc-ad5f3c50688a -AttackSurfaceReductionRules_Actions Enabled

  2. Descargue y abra el archivo o documento de prueba de la regla que desea probar. Si se le solicita, habilite la edición y el contenido. Por ejemplo:

    Impedir que todas las aplicaciones de Office creen procesos secundarios

Resultado esperado:

Debería ver inmediatamente una notificación "Acción bloqueada".

Escenario 3: la regla ASR impide que los archivos que no son de confianza se ejecuten desde unidades USB

Sugerencia

Esta regla de ASR está disponible en Windows 10 versión 1709 (octubre de 2017) o posterior.

  1. Habilite los procesos de bloque que no son de confianza y no firmados que se ejecutan desde la regla ASR USB mediante la ejecución del siguiente comando en una ventana de PowerShell con privilegios elevados:

    Add-MpPreference -AttackSurfaceReductionRules_Ids b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 -AttackSurfaceReductionRules_Actions Enabled

  2. Descargue el siguiente archivo en una unidad USB (directamente o cópielo en la unidad USB después de descargarlo en otro lugar):

    Bloquear la ejecución de archivos ejecutables que no son de confianza o no firmados dentro de medios USB extraíbles

  3. Ejecute el archivo desde la unidad USB.

Resultado esperado:

Debería ver inmediatamente una notificación "Acción bloqueada".

Escenario 4: ¿Qué ocurriría sin reducción de la superficie expuesta a ataques?

  1. Desactive todas las reglas de reducción de superficie expuesta a ataques mediante el comando de PowerShell en la sección Limpieza .

  2. Descargue cualquier archivo o documento de prueba. Si se le solicita, habilite la edición y el contenido.

Resultado esperado:

  • Los archivos de C:\Demo están cifrados y debería recibir un mensaje de advertencia.
  • Vuelva a ejecutar el archivo de prueba para descifrar los archivos.

Limpiar

Descargue, extraiga y ejecute este script de limpieza.

O bien, puede ejecutar el siguiente comando en una ventana de PowerShell con privilegios elevados para deshabilitar todas las reglas de ASR:

Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-cd74-433a-b99e-2ecdc07bfc25,33ddedf1-c6e0-47cb-833e-de6133960387,3b576869-a4ec-4529-8536-b80a7769e899,56a863a9-875e-4185-98a7-b882c64b5ce5,5beb7efe-fd9a-4556-801d-275e5ffc04cc,75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84,92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b,9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2,a8f5898e-1dc8-49a9-9878-85004b8a61e6,b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4,be9ba2d9-53ea-4cdc-84e5-9b1eeee46550,c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb,c1db55ab-c21a-4637-bb3f-a12568109d35,d1e49aac-8f56-4280-b9ba-993a6d77406c,d3e037e1-3eb8-44c8-a917-57927947596d,d4f940ab-401b-4efc-aadc-ad5f3c50688a,e6db77e5-3df2-4cf1-b95a-636979351e5b,26190899-1602-49e8-8b27-eb1d0a1ce869,7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled

Limpie el cifrado C:\Demo ejecutando el archivo encrypt/decrypt.

Contenido relacionado

  • Last updated on