Windows Defender

Función de reducción de superficie de ataque en Windows Defender

Función de reducción de superficie de ataque en Windows Defender

Reducción de la superficie de ataque es una función de Windows Defender Exploit Guard que evita las acciones que utiliza el malware que busca exploits para infectar equipos. Windows Defender Exploit Guard es un nuevo conjunto de capacidades de prevención de invasiones que Microsoft introdujo como parte de Windows 10 v1709. Los cuatro componentes de Windows Defender Exploit Guard incluyen:

Una de las principales capacidades, como se mencionó anteriormente, es Reducción de la superficie de ataque, que protegen contra acciones comunes de software malicioso que se ejecutan en dispositivos con Windows 10.

Comprendamos qué es la reducción de la superficie de ataque y por qué es tan importante.

Función de reducción de superficie de ataque de Windows Defender

Los correos electrónicos y las aplicaciones de oficina son la parte más crucial de la productividad de cualquier empresa. Son la forma más fácil para que los atacantes cibernéticos accedan a sus PC y redes e instalen malware. Los piratas informáticos pueden usar directamente macros y scripts de oficina para realizar exploits que operan completamente en la memoria y, a menudo, no son detectables por los análisis antivirus tradicionales.

Lo peor es que para que un malware obtenga una entrada, solo se necesita que el usuario habilite macros en un archivo de Office de apariencia legítima o que abra un archivo adjunto de correo electrónico que pueda comprometer la máquina.

Aquí es donde la reducción de superficie de ataque viene al rescate.

Ventajas de la reducción de la superficie de ataque

Attack Surface Reduction ofrece un conjunto de inteligencia incorporada que puede bloquear los comportamientos subyacentes utilizados por estos documentos maliciosos para ejecutarlos sin obstaculizar los escenarios productivos. Al bloquear comportamientos maliciosos, independientemente de cuál sea la amenaza o el exploit, Attack Surface Reduction puede proteger a las empresas de ataques de día cero nunca antes vistos y equilibrar sus requisitos de productividad y riesgo de seguridad.

ASR cubre tres comportamientos principales:

  1. Aplicaciones de Office
  2. Guiones y
  3. Correos electrónicos

Para las aplicaciones de Office, la regla de reducción de la superficie de ataque puede:

  1. Impedir que las aplicaciones de Office creen contenido ejecutable
  2. Impedir que las aplicaciones de Office creen procesos secundarios
  3. Impedir que las aplicaciones de Office inyecten código en otro proceso
  4. Bloquear las importaciones de Win32 desde el código de macro en Office
  5. Bloquear código de macro ofuscado

Muchas veces, las macros de oficina maliciosas pueden infectar una PC al inyectar y ejecutar ejecutables. Attack Surface Reduction puede proteger contra esto y también contra DDEDownloader que últimamente ha infectado PC en todo el mundo. Este exploit utiliza la ventana emergente Dynamic Data Exchange en documentos oficiales para ejecutar un descargador de PowerShell mientras crea un proceso secundario que la regla ASR bloquea de manera eficiente!

Para el script, la regla de Reducción de la superficie de ataque puede:

Para correo electrónico, ASR puede:

Hoy en día, ha habido un aumento posterior en el spear-phishing e incluso los correos electrónicos personales de un empleado están dirigidos. ASR permite a los administradores de la empresa aplicar políticas de archivos en el correo electrónico personal para el correo web y los clientes de correo en los dispositivos de la empresa para protegerse de las amenazas.

Cómo funciona la reducción de superficie de ataque

ASR funciona a través de reglas que se identifican por su ID de regla único. Para configurar el estado o modo de cada regla, se pueden gestionar con:

Se pueden usar cuando solo se deben habilitar algunas reglas o cuando las reglas se deben habilitar en modo individual.

Para cualquier línea de aplicaciones comerciales que se ejecuten dentro de su empresa, existe la capacidad de personalizar exclusiones basadas en archivos y carpetas si sus aplicaciones incluyen comportamientos inusuales que pueden verse afectados por la detección de ASR.

Attack Surface Reduction requiere que el antivirus de Windows Defender sea el antivirus principal y requiere que la función de protección en tiempo real esté habilitada. La línea de base de seguridad de Windows 10 sugiere que la mayoría de las reglas en modo de bloqueo mencionadas anteriormente deben estar habilitadas para proteger sus dispositivos de cualquier amenaza!

Para saber más, puede visitar los documentos.microsoft.com.

Herramientas útiles para jugadores de Linux
Si le gusta jugar juegos en Linux, es probable que haya utilizado aplicaciones y utilidades como Wine, Lutris y OBS Studio para mejorar la experiencia...
Juegos HD remasterizados para Linux que nunca tuvieron un lanzamiento de Linux antes
Muchos desarrolladores y editores de juegos están creando una remasterización HD de juegos antiguos para extender la vida útil de la franquicia, por f...
Cómo usar AutoKey para automatizar juegos de Linux
AutoKey es una utilidad de automatización de escritorio para Linux y X11, programada en Python 3, GTK y Qt. Usando su funcionalidad de scripting y MAC...