Reglas de Reducción de la Superficie de Ataque ASR

¿Qué son las reglas ASR y por qué son importantes?

Las reglas de Reducción de la Superficie de Ataque (Attack Surface Reduction - ASR) son una característica avanzada de seguridad integrada en Microsoft Defender for Endpoint que previene acciones que el malware suele utilizar para comprometer dispositivos y redes. Funcionan como un conjunto de políticas inteligentes que analizan el comportamiento de las aplicaciones y procesos, bloqueando aquellos que resultan sospechosos aunque no sean malware conocido.

La "superficie de ataque" comprende todos los lugares donde un atacante podría comprometer los dispositivos o redes de una organización . Reducir esta superficie significa proteger los dispositivos dejando a los atacantes con menos formas de ejecutar sus ataques.

Estas reglas se enfocan en comportamientos específicos que son comunes en el malware:

• Archivos ejecutables y scripts que intentan descargar o ejecutar otros archivos.

• Scripts ofuscados o sospechosos.

• Comportamientos que las aplicaciones no suelen iniciar durante el trabajo diario normal.

Cómo funcionan: Modos de operación

Cada regla ASR puede configurarse en uno de cuatro estados diferentes:

Modo	Valor Numérico	Descripción
No configurado / Deshabilitado	0	La regla no se aplica
Bloquear (Block)	1	Activa la regla. El comportamiento sospechoso es bloqueado automáticamente
Auditar (Audit)	2	Evalúa el impacto. Registra cuándo se habría bloqueado un comportamiento, pero permite que ocurra
Advertir (Warn)	6	Activa la regla pero permite al usuario final omitir el bloqueo

El modo de auditoría es especialmente valioso durante la implementación, ya que permite comprender el impacto en las aplicaciones de negocio antes de activar el bloqueo. Muchas aplicaciones legítimas pueden realizar tareas que parecen similares a malware, por lo que es fundamental probar primero.

Tipos de reglas ASR disponibles

Microsoft clasifica las reglas ASR en dos categorías principales :

Reglas de protección estándar

Son el conjunto mínimo de reglas que Microsoft recomienda activar siempre, ya que suelen tener un impacto mínimo o nulo en el usuario final. Incluyen:

Regla	GUID	Descripción
Bloquear el abuso de controladores firmados vulnerables explotados	56a863a9-875e-4185-98a7-b882c64b5ce5	Evita que aplicaciones escriban controladores vulnerables en disco
Bloquear el robo de credenciales de lsass.exe	9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2	Protege contra el robo de credenciales del subsistema de autoridad de seguridad local
Bloquear la ejecución de scripts potencialmente ofuscados	5beb7efe-fd9a-4556-801d-275e5ffc04cc	Detecta y bloquea scripts con ofuscación sospechosa
Usar protección avanzada contra ransomware	c1db55ab-c21a-4637-bb3f-a12568109d35	Protección adicional específica contra ransomware

Otras reglas especializadas

Requieren un proceso de implementación más cuidadoso (Planificar → Probar en auditoría → Activar) :

Regla	GUID	Ámbito
Bloquear procesos no confiables y no firmados desde USB	b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4	Dispositivos USB
Impedir que JavaScript o VBScript inicien contenido ejecutable descargado	d3e037e1-3eb8-44c8-a917-57927947596d	Scripts
Bloquear inyección de código en aplicaciones de Office	75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84	Aplicaciones Office
Bloquear la persistencia mediante suscripción a eventos WMI	e6db77e5-3df2-4cf1-b95a-636979351e5b	Persistencia (no soporta exclusiones)

Requisitos del sistema y licencias

Sistemas operativos soportados :

• Windows 10: versión 1709 (RS3, compilación 16299) o posterior

• Windows 11: todas las versiones

• Windows Server: versión 1809 o posterior (incluyendo 2012 R2 y 2016 con el paquete de solución unificada moderna)

Dependencias necesarias :

• Microsoft Defender Antivirus como antivirus principal (protección en tiempo real activada)

• Protección entregada en la nube activada (requerida para algunas reglas)

Consideraciones de licenciamiento:

Aunque las reglas ASR no requieren una licencia Windows E5, con ella se obtienen capacidades avanzadas de gestión en Microsoft Defender for Endpoint, incluyendo monitoreo, análisis y flujos de trabajo . Sin licencia E5, puedes revisar los eventos mediante el Visor de eventos.

Métodos de configuración

Las reglas ASR pueden implementarse mediante diversos sistemas de gestión:

Método	Descripción	Nivel de recomendación
Microsoft Intune	Políticas de seguridad para endpoints o perfiles de configuración	★★★★★
Microsoft Endpoint Configuration Manager	Gestión unificada	★★★★☆
Directiva de grupo (Group Policy)	Para entornos con Active Directory	★★★☆☆
PowerShell	Configuración local mediante cmdlets	★★☆☆☆
MDM / OMA-URI	Para dispositivos gestionados por móvil	★★★☆☆

Ejemplo de configuración en PowerShell :

powershell

# Activar regla en modo bloqueo
Add-MpPreference -AttackSurfaceReductionRules_Ids "56a863a9-875e-4185-98a7-b882c64b5ce5" -AttackSurfaceReductionRules_Actions Enabled

# Activar regla en modo auditoría
Add-MpPreference -AttackSurfaceReductionRules_Ids "7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c" -AttackSurfaceReductionRules_Actions AuditMode

# Verificar configuración actual
Get-MpPreference

Configuración mediante OMA-URI (Intune) :

text

Ruta: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules
Valor: 56a863a9-875e-4185-98a7-b882c64b5ce5=1|75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2

Exclusiones y consideraciones importantes

Exclusiones de archivos y carpetas

Puedes excluir archivos y carpetas específicos de la evaluación de la mayoría de reglas ASR . Importante: las exclusiones reducen severamente la protección y deben usarse con precaución.

Reglas que NO honran exclusiones:

• Bloquear persistencia mediante suscripción WMI (e6db77e5-3df2-4cf1-b95a-636979351e5b)

Reglas que NO honran indicadores de compromiso (IOC):

• Bloquear robo de credenciales de lsass.exe

• Bloquear inyección de código en aplicaciones Office

• Bloquear llamadas API Win32 desde macros de Office

Comportamiento ante conflictos de políticas

Cuando se aplican políticas conflictivas desde diferentes orígenes:

• Directiva de grupo (GP) tiene prioridad sobre MDM

• Los sistemas de gestión empresarial sobrescriben cualquier configuración conflictiva de PowerShell o GP al iniciarse

• Las reglas ASR soportan combinación de configuraciones creando un "supraconjunto" de políticas para cada dispositivo

Mejores prácticas para implementación

1. Comenzar en modo auditoría: Activa todas las reglas en modo auditoría primero para comprender su impacto en aplicaciones de negocio

2. Monitorear eventos: Revisa los registros para identificar aplicaciones legítimas que podrían ser bloqueadas

3. Añadir exclusiones específicas: Para aplicaciones necesarias que disparen falsos positivos

4. Activar progresivamente: Pasar reglas a modo bloqueo gradualmente, comenzando por las de protección estándar

5. Revisar periódicamente: Las aplicaciones cambian, y también las exclusiones necesarias

Eventos y notificaciones

Cuando una regla ASR se activa:

• Se muestra una notificación en el dispositivo (personalizable con información de la empresa)

• El evento queda registrado y puede visualizarse en el portal de Microsoft Defender

• En modo auditoría, los eventos se registran sin interrumpir al usuario

Para revisar eventos localmente sin licencia E5, utiliza el Visor de eventos de Windows.

Conclusión

Las reglas de Reducción de la Superficie de Ataque (ASR) representan una de las defensas más sofisticadas y efectivas en el ecosistema de seguridad de Windows. Al centrarse en comportamientos sospechosos en lugar de firmas conocidas, pueden detener amenazas nuevas y desconocidas que evadirían soluciones tradicionales. Su implementación cuidadosa, comenzando por modo auditoría y progresando a bloqueo activo, permite fortalecer significativamente la postura de seguridad sin afectar la productividad de los usuarios.

Para organizaciones que buscan maximizar la protección nativa de Windows, las reglas ASR son un componente esencial que, combinado con el antivirus, firewall y seguridad del dispositivo, crea una defensa en profundidad verdaderamente robusta.