- Phishing : esta técnica utiliza spam, mensajería instantánea o texto para engañar a las personas para que revelen información personal. Por ejemplo, números de tarjetas de crédito, información de cuenta bancaria, números de la seguridad social, contraseñas u otra información confidencial. Los estafadores de Internet utilizan el cebo del correo electrónico para "" de phishing en busca de contraseñas y datos financieros de los usuarios de Internet. Ejemplos: Google campañas de phishing DocuSign, Spear phishing, voz y SMS phishing y ransomware las campañas de phishing.
- Spam : un mensaje electrónico no deseado, normalmente correo electrónico masivo no solicitado. Por lo general, spam se envía a varios destinatarios que no le han pedido que lo reciban. Entre los tipos se incluyen el spam de correo electrónico, la mensajería instantánea spam, la spam de motor de búsqueda web, spam en blogs y la mensajería de teléfono móvil spam. El spam incluye anuncios legítimos, anuncios engañosos, intentos de extortion y mensajes de phishing diseñados para engañar a los destinatarios para que proporcionen información personal y financiera. Ejemplos: campañas de spam de ransomware, un mecanismo de envío de MIME de exploit y JS\Nemucod.
- Vínculos falsos/maliciosos : correos electrónicos maliciosos que contienen vínculos a descargas malwares o a un sitio web que imita el sitio de una empresa real. Los correos electrónicos se dirigen principalmente a sitios financieros para robar información privada (contraseñas, números de cuenta y números de la seguridad social). Ejemplos: sitios web falsificados y descargadores.
- Datos adjuntos maliciosos : los datos adjuntos maliciosos se envían de forma electrónica, generalmente de un origen desconocido. Ejemplos: vulnerabilidades y descargadores de DOC, PDF, JS, EXE y XLS.
- Suplantación -creación de correos electrónicos enviados para engañar al destinatario mediante la entrega de correo electrónico desde una dirección de correo electrónico falsificada o falsa. Ejemplos: todos los vectores de correo electrónico.
Contramedidas de amenazas de vector de entrada
Artículos técnicos ID:
KB91836
Última modificación: 2023-02-27 20:53:05 Etc/GMT
Última modificación: 2023-02-27 20:53:05 Etc/GMT
Entorno
Endpoint Security (ENS) 10.7 , 10.6
Host Intrusion Prevention (host IPS) 8.0
Security for Microsoft Exchange (MSME) 8.x
VirusScan Enterprise (VSE) 8.8
Host Intrusion Prevention (host IPS) 8.0
Security for Microsoft Exchange (MSME) 8.x
VirusScan Enterprise (VSE) 8.8
Resumen
Los productos de Endpoint Protection ofrecen una serie de funciones que puede utilizar para detener malware. Las funciones detienen malware según las características de comportamiento en lugar de confiar únicamente en los archivos DAT. Los descargadores, instaladores y phishing suelen ser la primera etapa para otros malware. La prevención de amenazas de vectores de entrada, a su vez, evita que la segunda fase y más allá de las amenazas entren en su entorno.
Nota: Antes de implementar las recomendaciones a continuación, debe probar las reglas minuciosamente. Las pruebas exhaustivas garantizan la integridad de las reglas. Asimismo, garantiza que ninguna aplicación legítima desarrollada o de otro modo se considera maliciosa y evita que funcione en su entorno de producción. Las reglas sugeridas se pueden definir en modo de solo informe para realizar pruebas con el fin de comprobar si causan algún conflicto en su entorno. Después de determinar que las reglas no bloquean ninguna actividad de aplicaciones legítimas, puede establecer las reglas para bloquear y aplicar esta configuración a todos los sistemas relevantes.
Solución
A continuación se muestran los vectores de entrada comunes. Haga clic en las flechas para expandir la sección que desee ver:
A continuación se muestran las contramedidas. Haga clic para avanzar a la sección que desee ver:
Protección adaptable frente a amenazas de ENS (ATP)
Active o desactive la configuración de las reglas siguientes en la configuración del servidor de ePolicy Orchestrator (ePO) en Protección adaptable frente a amenazas. Existen tres configuraciones diferentes: productividad, equilibrio y seguridad. Los cambios realizados en la configuración del servidor se aplican a las asignaciones de grupos de reglas en la Directiva opciones de ATP.
Volver al principio
Contención dinámica de aplicaciones de ENS (DAC)
DAC solo se activa si la reputación del proceso cumple los criterios de reputación definidos en la Directiva opciones de ATP. Cuando el DAC contiene un proceso, está sujeto a la supervisión de ejecución posterior y a todas las reglas activadas en la Directiva de DAC.
Volver al principio
Interfaz de análisis antimalware de ENS prevención de amenazas (Amsi)
Active la integración con AMSI. AMSI proporciona un análisis mejorado script. AMSI es un estándar de interfaz genérica que permite que las aplicaciones y servicios puedan integrarse con Prevención de amenazas, que proporciona una mejor protección contra el malware. Microsoft proporciona AMSI. AMSI es compatible con sistemas Windows 10 y Windows Server 2016 (y posteriores). Utilice AMSI para mejorar el análisis en busca de amenazas en scripts no basados en navegadores, como PowerShell,WScript y CScript .
Volver al principio
Exploit Prevention de ENS
Todas las firmas siguientes están desactivadas de forma predeterminada.
Reglas de experto en prevención de exploit de ENS
A continuación se ofrece una regla de nivel experto mejorada para el ID de regla 6107 de prevención de exploit "MS Word intentar ejecutar programas no deseados" con una protección adicional para las amenazas que ejecutan otros programas.
Si implementa esta regla experta, desactive la firma de prevención de exploit 6107.
Rule Name: "Prevent MS Office from executing unwanted programs (enhanced)"
Rule {
Process {
Include OBJECT_NAME { -v excel.exe }
Include OBJECT_NAME { -v powerpnt.exe }
Include OBJECT_NAME { -v winword.exe }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v ** }
Exclude OBJECT_NAME { -v "excel.exe" }
Exclude OBJECT_NAME { -v "powerpnt.exe" }
Exclude OBJECT_NAME { -v "winword.exe" }
Exclude OBJECT_NAME { -v "splwow64.exe" }
Include -access "CREATE"
}
Match PROCESS {
Include OBJECT_NAME { -v ** }
Exclude OBJECT_NAME { -v "excel.exe" }
Exclude OBJECT_NAME { -v "powerpnt.exe" }
Exclude OBJECT_NAME { -v "winword.exe" }
Exclude OBJECT_NAME { -v "splwow64.exe" }
#PROCESS_VM_WRITE
Include -nt_access "!0x0020"
}
}
}
Volver al principio
Reglas predeterminadas de protección de acceso de ENS
Todas las reglas siguientes están desactivadas de forma predeterminada.
Reglas personalizadas de protección de acceso de ENS
A continuación se muestran los detalles de cuatro reglas personalizadas.
Rule1 personalizada:
Executable1:
inclusión: incluir
Ruta o nombre de archivo:winword.exe
Executable2:
inclusión: incluir
Ruta o nombre de archivo:excel.exe
Executable3:
inclusión: incluir
Ruta o nombre de archivo:eqnedt32.exe
SubRule1:
SubRule tipo: archivos
Operaciones: Ejecut
Target1:
inclusión: incluir
Archivo, nombre de carpeta o ruta de archivo:cmd.exe
SubRule2:
SubRule tipo: archivos
Operaciones: Ejecut
TARGET2:
inclusión: incluir
Archivo, nombre de carpeta o ruta de archivo:mshta.exe
SubRule3:
SubRule tipo: archivos
Operaciones: Ejecut
Target3:
inclusión: incluir
Archivo, nombre de carpeta o ruta de archivo:powershell.exe
Rule2 personalizada:
Executable1:
inclusión: incluir
Ruta o nombre de archivo:powershell.exe
Executable2:
inclusión: incluir
Ruta o nombre de archivo:cmd.exe
SubRule1:
SubRule tipo: archivos
Operaciones: Ejecut
Target1:
inclusión: incluir
Archivo, nombre de carpeta o ruta de archivo:SchTasks.exe
Rule3 personalizada:
Executable1:
inclusión: incluir
Nombre de archivo o ruta:?script.exe
SubRule1:
SubRule tipo: archivos
Operaciones: Ejecut
Target1:
inclusión: incluir
Archivo, nombre de carpeta o ruta de archivo:powershell.exe
Nota: si lo desea, puede modificar los Rule3 personalizados para agregar vbs, dll, Bat, JS, PS1, SCT y doc. Las siguientes ubicaciones de destino son para un enfoque muy agresivo:
Rule4 personalizada:
Executable1:
inclusión: incluir
Nombre de archivo o ruta:winword.exe (un enfoque más agresivo es utilizar * como ejecutable único, lo que hace que los ejecutables 2 – 4 no sean necesarios).
Executable2:
inclusión: incluir
Ruta o nombre de archivo:excel.exe
Executable3:
inclusión: incluir
Ruta o nombre de archivo:?script.exe
Executable4:
inclusión: incluir
Ruta o nombre de archivo:powershell.exe
SubRule1:
SubRule tipo: archivos
Operaciones: Cree y ejecutar
Target1:
inclusión: incluir
Archivo, nombre de carpeta o ruta de archivo:?:\users\*\*.exe
Nota: la regla de ejemplo muestra el enfoque más agresivo.
Regla 5 personalizada: evitar la ejecución depowershell.exe por
wmiprvse.exe
Nota: esta regla impide la ejecución del Mer de ePO. Debe desactivar esta regla en el sistema de destino al intentar ejecutar el MER de ePO.
Executable1:
inclusión: incluir
Nombre de archivo o ruta:wmiprvse.exe
SubRule1:
SubRule tipo: archivos
Operaciones: Ejecut
Target1:
inclusión: incluir
Archivo, nombre de carpeta o ruta de archivo:powershell.exe
Volver al principio
Reglas de Firewall de ENS
A continuación se muestran los detalles de las reglas de Firewall.
Nota: Elexcel.exe proceso también se ha agregado, pero no se puede ver sin desplazarse hacia abajo.
También tendrá que crear listas de permitidos apropiadas basadas en el tráfico legítimo generado por estas aplicaciones. Por ejemplo, si utiliza Office 365 y restringe la conexión a Internet de los equipos de la red, incluya los endpoints en las listas de permitidos salientes. La inclusión en las listas de permitidos salientes garantiza que los equipos puedan utilizar Office 365 correctamente. Los endpoints son nombres de dominio completos, puertos, URL, intervalos de direcciones IPv4 e intervalos de direcciones IPv6. Se describen en este artículo sobre para los URL de Office 365 y los intervalos de direcciones IP.
Volver al principio
Reglas predeterminadas de protección de acceso de VSE
Todas las reglas siguientes están desactivadas o configuradas para informar únicamente de forma predeterminada.
Reglas personalizadas de protección de acceso de VSE
A continuación se muestran los detalles de seis reglas personalizadas.
Tipo de regla: Regla de bloqueo de archivos/carpetas
Proceso que incluir:winword.exe , excel.exe ,
eqnedt32.exe
Nombre de archivo o carpeta que bloquear:cmd.exe
acciones de archivo que evitar: ejecutar
Tipo de regla: Regla de bloqueo de archivos/carpetas
Proceso que incluir:winword.exe , excel.exe ,
eqnedt32.exe
Nombre de archivo o carpeta que bloquear:mshta.exe
acciones de archivo que evitar: ejecutar
Tipo de regla: Regla de bloqueo de archivos/carpetas
Proceso que incluir:winword.exe , excel.exe ,
eqnedt32.exe
Nombre de archivo o carpeta que bloquear:powershell.exe
acciones de archivo que evitar: ejecutar
Tipo de regla: Regla de bloqueo de archivos/carpetas
Proceso que incluir:powershell.exe ,
cmd.exe
Nombre de archivo o carpeta que bloquear:SchTasks.exe
acciones de archivo que evitar: ejecutar
Tipo de regla: Regla de bloqueo de archivos/carpetas
Proceso que incluir:?script.exe
nombre de archivo o carpeta que bloquear:powershell.exe
acciones de archivo que evitar: ejecutar
Tipo de regla: Regla de bloqueo de archivos/carpetas
Proceso que incluir:winword.exe , excel.exe , ?script.exe , powershell.exe (un enfoque más agresivo es usar *).
Nombre de archivo o carpeta que bloquear: *\users\*\*.exe
acciones de archivo que evitar: crear y ejecutar
Nota: de manera opcional, puede modificar las reglas personalizadas para agregar vbs, dll, Bat, JS, PS1, SCT y doc. Las siguientes ubicaciones de destino son para un enfoque muy agresivo:
Proceso que incluir:wmiprvse.exe
nombre de archivo o carpeta que bloquear:powershell.exe
acciones de archivo que evitar: ejecutar
Nota: esta regla impide la ejecución del Mer de ePO. Debe desactivar esta regla en el sistema de destino al intentar ejecutar el MER de ePO.
Volver al principio
Firmas de host IPS
De forma predeterminada, todas las firmas siguientes están desactivadas o configuradas con una gravedad que no se bloquea. Es posible que necesite ajustar la gravedad de la firma o la Directiva de protección IPS adecuada.
MSME directivas antispam y análisis en tiempo real
Utilice las siguientes directivas antispam y análisis en tiempo real.
Volver al principio
Más recomendaciones de usuario
(Correo electrónico)
- Explotaciones del navegador : código de malware que aprovecha un defecto o una vulnerabilidad a través del navegador web de la víctima para llevar a cabo alguna forma de intenciones maliciosas. Ejemplos: Chrome Zero-Day, desbloqueo en iOS de Apple, la descarga de discos, kits de exploit e inyecciones de I-frame.
- Redireccionamiento de navegador/DNS : método utilizado para dirigir a alguien o algo a un lugar distinto del previsto. Los ciberdelincuentes pueden dirigir el tráfico de un sitio web legítimo a un sitio web falsificado. Ejemplos: JS\Redirectors, DNS\Changer y secuestradores de navegadores.
- Malware que aloja sitios web : sitios Web maliciosos que intentan instalar malware u otros programas no deseados en su sistema. Estos sitios web se consideran peligrosos porque exploit vulnerabilidades del navegador o envían spyware y otro software no deseado a los usuarios. Ejemplos:
Malvertising , redes de bots yBlacole . - Acceso directo, soportes extraíbles dispositivos infectados : malware que ha utilizado medios extraíbles de forma eficaz para eliminar la separación física entre Internet y las redes internas. Ejemplos:
Stuxnet , BadUSB y Autoruns.
- Ingeniería social : acto de manipular a las personas para que realicen acciones o divulguen información confidencial. Se basa en las interacciones humanas, por ejemplo, intentando obtener la confianza de alguien a través de un engaño o Descepción de la recopilación de información, el fraude o el acceso al sistema del equipo. Puede adoptar muchas formas, tanto online como offline. Técnicas de ingeniería social, que suelen cruzar otros vectores, como phishing (correo electrónico), redirecciones (Web) y
vishing (teléfono/otros). Ejemplos: Spear phishing,quid pro quo y pretexto. - Piratería Rogue : persona o grupo de Defiant que utiliza equipos para obtener acceso no autorizado a datos o redes para confirmar actos ilegales. La piratería no fiable incluye la mayoría de vectores para hacktivism, notoriety o ganancia financiera.
- ENS Protección adaptable frente a amenazas (ATP)
- Contención dinámica de aplicaciones de ENS (DAC)
- Interfaz de análisis antimalware de ENS Prevención de amenazas (AMSI)
- Exploit Prevention de ENS
- Reglas de experto en prevención de exploit de ENS
- Reglas predeterminadas de protección de acceso de ENS
- Reglas personalizadas de protección de acceso de ENS
- Reglas de Firewall de ENS
- Reglas predeterminadas de protección de acceso de VSE
- Reglas personalizadas de protección de acceso de VSE
- Firmas de host IPS
- MSME directivas antispam y análisis en tiempo real
- Más recomendaciones de usuario
Protección adaptable frente a amenazas de ENS (ATP)
Active o desactive la configuración de las reglas siguientes en la configuración del servidor de ePolicy Orchestrator (ePO) en Protección adaptable frente a amenazas. Existen tres configuraciones diferentes: productividad, equilibrio y seguridad. Los cambios realizados en la configuración del servidor se aplican a las asignaciones de grupos de reglas en la Directiva opciones de ATP.
Nombre de la regla | Número de ID de regla | Estado predeterminado |
Usar la reputación de archivos de Enterprise para identificar los archivos de confianza o maliciosos | ID de regla 2 | Seleccioneda de forma predeterminada |
Usar la reputación de archivos de GTI para identificar los archivos de confianza o maliciosos | ID de regla 4 | Seleccioneda de forma predeterminada |
Identificar los archivos sospechosos que se ejecutan desde carpeta Roaming | ID de regla 208 | Seleccioneda de forma predeterminada |
Identificar ejecución sospechosa de parámetros de comando | ID de regla 239 | Seleccioneda de forma predeterminada |
Evitar que las aplicaciones de Office inicien procesos secundarios que puedan ejecutar comandos script | ID de regla 300 | Seleccioneda de forma predeterminada |
Bloquea agresivamente los procesos con reputaciones desconocidas de ser generados por aplicaciones de Office | ID de regla 301 | Observar de forma predeterminada |
Identificar cargas sospechosas dirigidas a servicios o aplicaciones relacionados con la red | ID de regla 307 | Observar de forma predeterminada |
Bloquear procesos que intentan iniciarse desde aplicaciones de Office | ID de regla 309 | Seleccionedo solo en directivas de alta seguridad |
Impedir |
ID de regla 322 | Seleccioneda de forma predeterminada |
Volver al principio
Contención dinámica de aplicaciones de ENS (DAC)
DAC solo se activa si la reputación del proceso cumple los criterios de reputación definidos en la Directiva opciones de ATP. Cuando el DAC contiene un proceso, está sujeto a la supervisión de ejecución posterior y a todas las reglas activadas en la Directiva de DAC.
- Regla: asignación de memoria en otro proceso
- Regla: creación de un subproceso en otro proceso
- Regla: creación de archivos con la .bat extensión
- Regla: creación de archivos con la
.exe extensión - Regla: creación de archivos con la
.job extensión - Regla: creación de archivos con la
.vbs extensión - Regla: eliminación de archivos con destino a menudo por ransomware de clase malware
- Regla: ejecución de cualquier proceso secundario
- Regla: modificación de archivos ejecutables portables
- Regla: modificación del bit de atributo oculto
- Regla: modificación de la ubicación del registro de servicios
- Regla: modificación de las directivas de usuario
- Regla: modificación de las ubicaciones del registro de inicio
- Regla: lectura de la memoria de otro proceso
- Regla: suspender un proceso
- Regla: finalizando otro proceso
- Regla: escribir en la memoria de otro proceso
- Regla: escribir en archivos que normalmente se dirigen por ransomware de clase malware
Volver al principio
Interfaz de análisis antimalware de ENS prevención de amenazas (Amsi)
Active la integración con AMSI. AMSI proporciona un análisis mejorado script. AMSI es un estándar de interfaz genérica que permite que las aplicaciones y servicios puedan integrarse con Prevención de amenazas, que proporciona una mejor protección contra el malware. Microsoft proporciona AMSI. AMSI es compatible con sistemas Windows 10 y Windows Server 2016 (y posteriores). Utilice AMSI para mejorar el análisis en busca de amenazas en scripts no basados en navegadores, como PowerShell,
Volver al principio
Exploit Prevention de ENS
Todas las firmas siguientes están desactivadas de forma predeterminada.
- 344: creación de nuevo programa de inicio
- 2844: vulnerabilidad de desbordamiento del búfer en el módulo Microsoft Word WordPerfect5 Converter
- 6073: omisión de la Directiva de ejecución en PowerShell
- 6075: ejecución remota de script por la utilidad principal de Windows
- 6087: restricción de comando de PowerShell: EncodedCommand
- 6105: restricción de comando de script de Windows-modo por lotes
- 6107:
MS Word intentando ejecutar programas no deseados - 6108: PowerShell-cadena de descarga sospechosa script ejecución
- 6109: PowerShell: ejecución de script de WMI sospechosa
- 6113: amenaza sin archivos: inyección automática reflectante
- 6121: amenaza sin archivos: inyección automática de código shell
- 6131: infección de objetos OLE de armas a través de WMI
- 6153: comportamiento de malware:
Ryuk actividad de ransomware detectada
Reglas de experto en prevención de exploit de ENS
A continuación se ofrece una regla de nivel experto mejorada para el ID de regla 6107 de prevención de exploit "
Process {
Include OBJECT_NAME { -v excel.exe }
Include OBJECT_NAME { -v powerpnt.exe }
Include OBJECT_NAME { -v winword.exe }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v ** }
Exclude OBJECT_NAME { -v "excel.exe" }
Exclude OBJECT_NAME { -v "powerpnt.exe" }
Exclude OBJECT_NAME { -v "winword.exe" }
Exclude OBJECT_NAME { -v "splwow64.exe" }
Include -access "CREATE"
}
Match PROCESS {
Include OBJECT_NAME { -v ** }
Exclude OBJECT_NAME { -v "excel.exe" }
Exclude OBJECT_NAME { -v "powerpnt.exe" }
Exclude OBJECT_NAME { -v "winword.exe" }
Exclude OBJECT_NAME { -v "splwow64.exe" }
#PROCESS_VM_WRITE
Include -nt_access "!0x0020"
}
}
}
Volver al principio
Reglas predeterminadas de protección de acceso de ENS
Todas las reglas siguientes están desactivadas de forma predeterminada.
- Regla: creación de nuevos archivos ejecutables en la carpeta Windows
- Regla: impedir
CScript.exe oWScript.exe crear archivos en Windows directorio Temp, en sus subcarpetas y en la carpeta de usuario común - Regla: registro de programas en ejecución automática
Reglas personalizadas de protección de acceso de ENS
A continuación se muestran los detalles de cuatro reglas personalizadas.
Rule1 personalizada:
Executable1:
inclusión: incluir
Ruta o nombre de archivo:
Executable2:
inclusión: incluir
Ruta o nombre de archivo:
Executable3:
inclusión: incluir
Ruta o nombre de archivo:
SubRule1:
Operaciones: Ejecut
Target1:
inclusión: incluir
Archivo, nombre de carpeta o ruta de archivo:
SubRule2:
Operaciones: Ejecut
TARGET2:
inclusión: incluir
Archivo, nombre de carpeta o ruta de archivo:
SubRule3:
Operaciones: Ejecut
Target3:
inclusión: incluir
Archivo, nombre de carpeta o ruta de archivo:
Rule2 personalizada:
Executable1:
inclusión: incluir
Ruta o nombre de archivo:
Executable2:
inclusión: incluir
Ruta o nombre de archivo:
SubRule1:
Operaciones: Ejecut
Target1:
inclusión: incluir
Archivo, nombre de carpeta o ruta de archivo:
Rule3 personalizada:
Executable1:
inclusión: incluir
Nombre de archivo o ruta:
SubRule1:
Operaciones: Ejecut
Target1:
inclusión: incluir
Archivo, nombre de carpeta o ruta de archivo:
Nota: si lo desea, puede modificar los Rule3 personalizados para agregar vbs, dll, Bat, JS, PS1, SCT y doc. Las siguientes ubicaciones de destino son para un enfoque muy agresivo:
?:\programdata\*\*.exe ?:\users\Public\*.exe ?:\users\*\appdata\local\temp\*\*.exe ?:\users\*\appdata\roaming\*.exe
Rule4 personalizada:
Executable1:
inclusión: incluir
Nombre de archivo o ruta:
Executable2:
inclusión: incluir
Ruta o nombre de archivo:
Executable3:
inclusión: incluir
Ruta o nombre de archivo:
Executable4:
inclusión: incluir
Ruta o nombre de archivo:
SubRule1:
Operaciones: Cree y ejecutar
Target1:
inclusión: incluir
Archivo, nombre de carpeta o ruta de archivo:
Nota: la regla de ejemplo muestra el enfoque más agresivo.
Regla 5 personalizada: evitar la ejecución de
Nota: esta regla impide la ejecución del Mer de ePO. Debe desactivar esta regla en el sistema de destino al intentar ejecutar el MER de ePO.
Executable1:
inclusión: incluir
Nombre de archivo o ruta:
SubRule1:
Operaciones: Ejecut
Target1:
inclusión: incluir
Archivo, nombre de carpeta o ruta de archivo:
Volver al principio
Reglas de Firewall de ENS
A continuación se muestran los detalles de las reglas de Firewall.
- Executable1:
powershell.exe - Executable2:
?script.exe - Executable3:
winword.exe - Executable4:
excel.exe
Nota: El
También tendrá que crear listas de permitidos apropiadas basadas en el tráfico legítimo generado por estas aplicaciones. Por ejemplo, si utiliza Office 365 y restringe la conexión a Internet de los equipos de la red, incluya los endpoints en las listas de permitidos salientes. La inclusión en las listas de permitidos salientes garantiza que los equipos puedan utilizar Office 365 correctamente. Los endpoints son nombres de dominio completos, puertos, URL, intervalos de direcciones IPv4 e intervalos de direcciones IPv6. Se describen en este artículo sobre para los URL de Office 365 y los intervalos de direcciones IP.
Volver al principio
Reglas predeterminadas de protección de acceso de VSE
Todas las reglas siguientes están desactivadas o configuradas para informar únicamente de forma predeterminada.
- Regla:
Anti-spyware protección máxima: impedir la ejecución de scripts desde la carpeta Temp - Regla:
Anti-virus protección máxima: impedirsvchost la ejecución de ejecutables no Windows - Regla: Ajustes generales protección máxima: impedir la creación de nuevos archivos ejecutables en la carpeta Windows
- Regla: Ajustes generales protección máxima: impedir que los programas se registren como servicio
Reglas personalizadas de protección de acceso de VSE
A continuación se muestran los detalles de seis reglas personalizadas.
Tipo de regla: Regla de bloqueo de archivos/carpetas
Proceso que incluir:
Nombre de archivo o carpeta que bloquear:
acciones de archivo que evitar: ejecutar
Tipo de regla: Regla de bloqueo de archivos/carpetas
Proceso que incluir:
Nombre de archivo o carpeta que bloquear:
acciones de archivo que evitar: ejecutar
Tipo de regla: Regla de bloqueo de archivos/carpetas
Proceso que incluir:
Nombre de archivo o carpeta que bloquear:
acciones de archivo que evitar: ejecutar
Tipo de regla: Regla de bloqueo de archivos/carpetas
Proceso que incluir:
Nombre de archivo o carpeta que bloquear:
acciones de archivo que evitar: ejecutar
Tipo de regla: Regla de bloqueo de archivos/carpetas
Proceso que incluir:
nombre de archivo o carpeta que bloquear:
acciones de archivo que evitar: ejecutar
Tipo de regla: Regla de bloqueo de archivos/carpetas
Proceso que incluir:
Nombre de archivo o carpeta que bloquear:
acciones de archivo que evitar: crear y ejecutar
Nota: de manera opcional, puede modificar las reglas personalizadas para agregar vbs, dll, Bat, JS, PS1, SCT y doc. Las siguientes ubicaciones de destino son para un enfoque muy agresivo:
?:\programdata\*\*.exe ?:\users\Public\*.exe ?:\users\*\appdata\local\temp\*\*.exe ?:\users\*\appdata\roaming\*.exe
Proceso que incluir:
nombre de archivo o carpeta que bloquear:
acciones de archivo que evitar: ejecutar
Nota: esta regla impide la ejecución del Mer de ePO. Debe desactivar esta regla en el sistema de destino al intentar ejecutar el MER de ePO.
Volver al principio
Firmas de host IPS
De forma predeterminada, todas las firmas siguientes están desactivadas o configuradas con una gravedad que no se bloquea. Es posible que necesite ajustar la gravedad de la firma o la Directiva de protección IPS adecuada.
- 344: creación de nuevo programa de inicio
- 933: modificación de ejecutables de unidad del sistema
- 3814: envoltura de Microsoft Word-creación de archivos Ilegal
- 6073: omisión de la Directiva de ejecución en PowerShell
- 6075: ejecución remota de script por la utilidad principal de Windows
- 6087: restricción de comando de PowerShell: EncodedCommand
- 6105: restricción de comando de script de Windows-modo por lotes
- 6107:
MS Word intentando ejecutar programas no deseados - 6108: PowerShell-cadena de descarga sospechosa script ejecución
- 6109: PowerShell: ejecución de script de WMI sospechosa
- 6113: amenaza sin archivos: inyección automática reflectante
- 6121: amenaza sin archivos: inyección automática de código shell
- 6131: infección de objetos OLE de armas a través de WMI
MSME directivas antispam y análisis en tiempo real
Utilice las siguientes directivas antispam y análisis en tiempo real.
Volver al principio
Más recomendaciones de usuario
- Conocimiento y aprendizaje de seguridad:
- Simule una campaña de phishing y spam para llevar a cabo el conocimiento de seguridad a las personas que se encuentran en caso de ataques de ingeniería social.
- No abra archivos adjuntos ni inicie vínculos sospechosos, a menos que lo solicite el remitente. Vea el encabezado del correo electrónico o envíe un mensaje de correo electrónico distinto para validar el remitente antes de abrir los datos adjuntos.
- Informe de correo electrónico sospechoso al centro de operaciones de seguridad de la organización. Recuerde a sus empleados cómo y dónde enviar correo electrónico sospechoso de forma segura.
- Utilice productos de correo y Web Gateway que identifiquen vínculos maliciosos, bloqueen correos electrónicos con vínculos o datos adjuntos, o ambos.
- Utilice el filtrado de spam.
- Utilice Control web de ENS, que muestra calificaciones de seguridad e informes para sitios web durante la navegación y la búsqueda online. Control web de ENS permite al administrador del sitio bloquear el acceso a los sitios web en función de la calificación de seguridad o el contenido.
- Evitar que PowerShell se ejecute en sistemas en los que PowerShell no está pensado para ejecutarse.
- Asegúrese de que las directivas de seguridad de Microsoft Office para las macros se establezcan en alta o muy alta.
- Bloquee
y datos adjuntos similares en el correo electrónico o en la Gateway Web, o en ambos..EXE ,.RAR ,.SCR ,.CAB ,.VBS ,.BAT ,.WSF ,.JS ,.PS1 ,.IQY ,.SCT
Descargo de responsabilidad
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.
Productos implicados
Idiomas:
Este artículo se encuentra disponible en los siguientes idiomas: