Què és ASR (Attack Surface Reduction) i com aplicar-ho

  • ASR és un conjunt de regles de Microsoft Defender que bloquegen comportaments d'alt risc per reduir la superfície d'atac a Windows.
  • Les regles poden treballar de manera bloqueig, auditoria o advertència i s'han de desplegar sempre començant per auditoria i ajustant exclusions.
  • La configuració es gestiona mitjançant Intune, SCCM, MDM, GPO o PowerShell, i la seva eficàcia es recolza en altres capacitats com WDAC, accés controlat a carpetes i protecció de xarxa.
  • Una estratègia global de reducció de superfície combina ASR amb bones pràctiques de gestió dactius, enduriment de sistemes, control daccés i seguretat al núvol.
Lorena Figueredo

17 minuts

Reducció de superfície d'atac

La superfície d'atac d'una organització s'ha disparat els darrers anys: núvol, teletreball, SaaS, mòbils, USB, macros, APIs… Cada nou servei, port o aplicació és una possible porta d'entrada per a un atacant. Per això, Microsoft ha anat incorporant a Windows 10 i Windows 11 un conjunt de tecnologies orientades a limitar el que el programari pot fer, fins i tot quan aparentment és legítim. Per reduir aquests riscos, consulta consells per millorar la seguretat a Windows 11.

Dins aquest “arsenal defensiu” un dels pilars són les Attack Surface Reduction Rules (ASR), regles de reducció de superfície d'atac integrades a Microsoft Defender Antivirus i Defender for Endpoint. No són un simple antivirus tradicional, sinó un sistema de polítiques que bloqueja comportaments perillosos abans que el codi maliciós (malware) arribi si vulgui a executar la seva càrrega útil. Entendre bé què són, com funcionen i com desplegar-les sense trencar mig entorn és clau per a qualsevol admin que gestioni Windows en una empresa, gran o petita. A més, és recomanable complementar amb programari de seguretat imprescindible com a part de lestratègia defensiva.

Què és la superfície d'atac i per què cal reduir-la

La superfície datac és el conjunt de tots els punts pels quals un atacant podria interactuar amb els nostres sistemes per robar dades, executar codi o moure's lateralment. Inclou elements físics, digitals i humans.

En el pla físic, entren en joc els servidors, estacions de treball, dispositius de xarxa, portàtils, terminals i qualsevol maquinari amb accés a la xarxa corporativa oa dades sensibles. Un equip oblidat sense xifrar o un port USB sense control poden ser un vector dentrada més efectiu que un exploit remot.

A la part digital parlem de sistemes operatius, aplicacions de negoci, serveis web, bases de dades, endpoints, contenidors, serveis al núvol i APIs. Qualsevol vulnerabilitat sense pegats, mala configuració o interfície exposada forma part d'aquesta superfície d'atac i pot ser aprofitada per un atacant. Per això és fonamental mantenir les actualitzacions de seguretat al dia.

El factor humà completa el quadre: comptes dusuari, permisos, errors de configuració i, per descomptat, enginyeria social. Campanyes de phishing, pretexting o baiting exploten errors de consciència de seguretat, no errors tècnics. Per això la formació i la cultura de seguretat són tan importants com les tecnologies, i convé complementar amb solucions d'identitat com Finestres Hello for Business.

Reduir la superfície d'atac vol dir retallar i endurir tots aquests punts d'exposició: desinstal·lar programari que no es fa servir, tancar ports, limitar permisos, segmentar xarxes, revisar APIs, assegurar el núvol i posar controls tècnics que impedeixin abusos de funcionalitats legítimes. Aquí és just on encaixa ASR, i convé aplicar també polítiques locals amb secpol.msc.

Què és ASR (Attack Surface Reduction) a Microsoft Defender

Regles ASR a Microsoft Defender

ASR (Attack Surface Reduction) és un conjunt de regles de Microsoft Defender que restringeixen comportaments de programari considerats d'alt risc, fins i tot quan provenen d'aplicacions “de confiança” com ara Office, navegadors o clients de correu. No se centra tant en firmes de codi maliciós, sinó en evitar que s'abusin funcions legítimes per executar atacs.

Les regles ASR apunten a patrons de comportament típics del codi maliciós (malware), Com:

  • Inici d'executables o scripts que descarreguen o executen altres fitxers, sovint des de correu, web o USB.
  • Execució de scripts ofuscats o sospitosos (PowerShell, JavaScript, VBScript), comuns en atacs fileless.
  • Accions que les apps no fan en un ús normal, com Office creant processos fills, robant credencials o tocant zones sensibles del sistema.

És important entendre que algunes d'aquestes conductes també apareixen en programari legítim, sobretot en aplicacions de línia de negoci mal dissenyades o molt antigues. Per això ASR permet diversos modes (bloqueig, auditoria, advertiment) i suporta exclusions específiques per fitxer, carpeta o fins i tot per regla.

ASR forma part de Microsoft Defender Antivirus (motor integrat a Windows 10/11) i es gestiona de manera avançada a través de Defender for Endpoint i l'ecosistema de Microsoft 365 (Intune, Configuration Manager, MDM, GPO). No requereix necessàriament llicència E5 per funcionar, però sí que la necessita si volem tota la capa d'administració avançada, informes i hunting.

El paper d'ASR en un model Zero Trust

L'enfocament Zero Trust parteix d'una premissa clara: “assumeix que ja estàs compromès”. Això obliga a limitar el radi d'explosió de qualsevol incident, posant-hi capes de control en xarxa, identitat i endpoint. Les regles ASR encaixen a la part d'endpoint com un motor de control preventiu.

En comptes d'esperar que un binari maliciós s'executi i sigui detectat, ASR bloqueja per endavant els vectors habituals que usen els atacants: macros d'Office llançant PowerShell, executables desconeguts baixats del correu, scripts ofuscats, controladors vulnerables, processos llançats des d'USB, etc.

D'aquesta manera, ASR aplica el principi de mínim privilegi al que poden fer les aplicacions, no només al que poden fer els usuaris. Word continuarà sent Word, però ja no podrà crear processos fills arbitraris, trucar a certes API Win32 des de macros o executar contingut descarregat sense control.

Combinat amb segmentació de xarxa, MFA, control d'aplicacions, protecció web i bones pràctiques de pegat, ASR ajuda a “estrènyer” molt la superfície efectiva d'atac en estacions de treball i servidors Windows, que segueixen sent la baula feble en molts incidents.

Tipus de superfícies d'atac i relació amb ASR

Les superfícies d'atac solen dividir-se en tres grans blocs: digital, física i d'enginyeria social. Cadascuna té mesures específiques, però totes es toquen entre si.

Superfície d'atac digital: abasta webs, servidors, bases de dades, terminals, SaaS, serveis cloud, APIs… Aquí entren vulnerabilitats de programari, configuracions insegures i serveis exposats. Les organitzacions solen recolzar-se en eines de descobriment i gestió de superfície d'atac externa (EASM) per monitoritzar de manera continuada aquests actius.

Superfície d'atac física: maquinari de xarxa, servidors on-prem, equips d'usuari, dispositius d'emmagatzematge, etc. Es redueix amb controls físics (accés a CPD, càmeres, panys, blindatge de racks) i amb polítiques clares sobre dispositius extraïbles.

Superfície d'enginyeria social: atacs tipus phishing, vishing o smishing que exploten debilitats humanes. Aquí és clau la formació dels empleats, simulacions de pesca i polítiques clares sobre gestió de credencials i accés.

ASR ataca principalment la superfície digital a l'endpoint, però amb efectes sobre la física (per exemple, bloqueig d'executables des d'USB) i sobre el vector humà (dificulta que un clic a un correu maliciós acabi en execució de codi maliciós).

Regles ASR més rellevants i què bloquegen

Microsoft manté un catàleg força ampli de regles ASR, ampliat amb cada versió de Windows 10/11. Algunes de les més crítiques s'enfoquen als vectors que més s'exploten avui dia:

Regles centrades a Office i aplicacions de productivitat:

  • Bloquejar que les aplicacions de l'Office creïn processos secundaris (GUID D4F940AB-401B-4EFC-AADC-AD5F3C50688A): impedeix que Word, Excel, etc. llencen processos com cmd.exe o powershell.exe, molt típic en campanyes amb macros.
  • Impedir que aplicacions de comunicació d'Office creïn processos fills, endurint encara més Outlook i similars.
  • Evitar que Adobe Reader generi processos secundaris, per tancar una altra via comuna dexplotació.

Regles específiques per a macros:

  • Bloquejar trucades a APIs Win32 des de macros d'Office (GUID 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B): frena un dels patrons de codi maliciós de macro més habituals, que necessita invocar funcions del kernel o altres llibreries per completar l'atac.
  • Bloquejar contingut executable procedent de correu o webmail: curta d'arrel molts atacs que comencen amb un adjunt o un enllaç maliciós.

Regles contra scripts maliciosos:

  • Bloquejar l'execució de scripts ofuscats, tant a PowerShell com en llenguatges com JavaScript o VBScript.
  • Impedir que scripts JavaScript/VBScript llencin contingut descarregat, evitant cadenes d'infecció que passen desapercebudes per a l'usuari.

Regles per a moviment lateral, drivers i USB:

  • Bloquejar la creació de processos des de PsExec i WMI, dues tècniques clàssiques de moviment lateral a xarxes Windows.
  • Bloquejar el robatori de credencials de LSASS, mitigant eines com Mimikatz.
  • Bloquejar l'abús de certificats i signatures de drivers, evitant que atacants es recolzin en drivers legítims però amb fallades.
  • Bloquejar processos no signats o no fiables que es llencin des d'USB, molt útil en entorns on els usuaris usen unitats extraïbles amb freqüència.
  • Bloquejar la persistència mitjançant subscripcions d'esdeveniments WMI, un truc recurrent per mantenir-se al sistema sense cridar massa latenció.

Cal tenir en compte que no totes les regles són igual d'efectives per si mateixes. Per exemple, la regla de “bloquejar que Office creï processos fills” es va veure limitada davant de processos llançats via WMI, i Microsoft va haver d'incorporar regles addicionals específiques per tancar aquest buit. D'altres, com la que bloqueja les API Win32 en macros, són molt més contundents i difícils d'evadir avui dia.

Maneres de funcionament de les regles ASR

Què és ASR (Attack Surface Reduction) i com aplicar-ho

Cada regla ASR pot estar en un de quatre estats que en determinen el comportament:

  • No configurat / Deshabilitat: la regla no actua i no genera dades.
  • bloquejar: regla activa, impedeix l'acció i enregistra l'esdeveniment.
  • Auditoria: no bloqueja, però registra el que hauria bloquejat, ideal per a proves.
  • Notes: bloqueja però permet a l'usuari ometre el bloqueig durant 24 hores, després torna a aplicar la regla.

El mode auditoria és la pedra angular per a una implantació controlada. Executar totes les regles primer en aquesta manera permet veure quines aplicacions de negoci es veuran afectades, quants esdeveniments es generen i on cal introduir exclusions per no trencar processos crítics.

El mode advertiment està pensat com a pas intermedi per a organitzacions que volen donar marge als usuaris finals en casos excepcionals. Això sí, no està suportat per a totes les regles ni a tots els escenaris: per exemple, hi ha tres regles que no admeten advertiment si es configuren des d'Intune (encara que sí via GPO) i en versions antigues de Windows la configuració a “Advertir” es tradueix a “Bloquejar”.

Quan es dispara una regla ASR, l'usuari veu un quadre de diàleg indicant que el contingut ha estat bloquejat, i si el mode ho permet, podeu desbloquejar-lo temporalment. Aquesta experiència és personalitzable i s'acompanya d'esdeveniments al registre de Windows i, si es fa servir Defender for Endpoint, d'alertes al portal.

Requisits previs i sistemes operatius compatibles

Per aprofitar al màxim ASR i la resta de capacitats de reducció de superfície datac, hi ha una sèrie de requisits que convé tenir clars:

Requisits de Microsoft Defender Antivirus:

  • Defensar ha de ser l'antivirus principal, no pot estar en mode passiu ni deshabilitat.
  • La protecció en temps real ha d'estar activa.
  • La Cloud-Delivered Protection ha d'estar habilitada i amb connectivitat a Internet, ja que algunes regles en depenen.
  • Versions mínimes recomanades per a mode advertiment i altres funcions avançades: plataforma 4.18.2008.9 i motor 1.1.17400.5 o superior.

A nivell de sistema operatiu, les regles ASR estan suportades en diverses edicions de Windows 10 i Windows 11, tant en entorns professionals com empresarials. No es requereix estrictament una llicència Windows E5 perquè les regles funcionin, però sí per disposar de:

Funcionalitats avançades dadministració i visibilitat:

  • Supervisió centralitzada i anàlisi detallada des de Defender for Endpoint.
  • Informes i configuració avançada des del portal Microsoft Defender XDR.
  • Integració profunda amb cerca avançada i escenaris de hunting.

Amb llicències Professional o E3 es poden seguir usant les regles ASR, però la visibilitat es limita als registres locals (Visor d'esdeveniments, logs de Defender) oa solucions que el propi client munti (per exemple, reenviant esdeveniments a un SIEM propi).

Com avaluar les regles ASR abans de desplegar-les

Activar totes les regles ASR en mode “Bloquejar” de cop és una recepta perfecta per trencar aplicacions i emprenyar usuaris. Microsoft recomana i documenta un enfocament gradual basat en avaluació prèvia.

El punt de partida ideal és fer servir l'administració de vulnerabilitats de Microsoft Defender, on cada regla ASR apareix com a recomanació de seguretat. Des del panell de detalls de la recomanació es pot veure l'impacte estimat en usuaris i dispositius: percentatge d'endpoints on la regla es podria habilitar en mode bloqueig sense comprometre gaire la productivitat.

El pas següent és executar les regles en mode d'auditoria. En aquest mode es registren esdeveniments de tot allò que hauria estat bloquejat, però sense interferir amb les operacions. Això permet:

  • Identificar aplicacions de línia de negoci que es comporten “rar” però són necessàries.
  • Mesurar quants esdeveniments genera cada regla i decidir si és assumible o hi ha massa soroll.
  • Dissenyar i provar lestratègia dexclusions per fitxer, carpeta o procés.

Moltes LOB apps estan escrites amb poca atenció a la seguretat i poden fer servir pràctiques que s'assemblen molt al codi maliciós (malware): scripts ofuscats, executables auxiliars, drivers rars, etc. La manera auditoria permet descobrir aquests casos sense portar-se al davant processos clau.

Exclusions i combinació de directives a ASR

Les exclusions són essencials perquè ASR no es converteixi en un mal de cap. La majoria de regles permeten definir rutes o fitxers que no s'avaluaran, fins i tot si el comportament seria normalment bloquejat.

En afegir exclusions cal anar amb molt de compte:

  • Reduir-les al mínim imprescindible, sempre el més específiques possible (un executable concret, no tota una carpeta àmplia).
  • Documentar clarament el motiu de cada exclusió i revisar-les de forma periòdica.
  • Evitar excloure ubicacions típiques de codi maliciós (malware) com a perfils d'usuari, temp, descàrregues o rutes de correu.

En entorns amb diverses directives aplicades (MDM, Intune, GPO, etc.) hi ha lògica de combinació. Per a dispositius gestionats es pot construir un “superconjunt” de regles a partir de diversos perfils: les configuracions no conflictives se sumen, mentre que les que xoquen entre si es descarten de la política combinada.

Si hi ha directives en conflicte entre MDM i Intune davant de GPO, Group Policy sol tenir preferència i imposar-se. És important revisar la jerarquia i decidir amb claredat quin sistema de gestió ha de ser el “amo” de la configuració de Defensar a l'organització.

Mètodes de configuració i desplegament d'ASR

Microsoft ofereix diversos mètodes per configurar i distribuir regles ASR, des de la línia d'ordres fins a portals cloud avançats. El que és habitual en empresa és combinar-ne més d'un.

Gestió empresarial recomanada (Intune / Configuration Manager):

  • Intune - Directiva de seguretat de punt d'endpoint: és el mètode preferit en entorns cloud. Permet crear perfils específics de “Regles de reducció de superfície d'atac”, establir l'estat de cada regla, afegir exclusions i distribuir polítiques a grups d'usuaris o dispositius.
  • Intune – Perfils de configuració de dispositius (Endpoint Protection): alternativa per gestionar ASR dins una política de protecció més àmplia.
  • Intune – Perfils personalitzats OMA-URI: per a escenaris avançats on calgui utilitzar el CSP de Defensar directament, especificant GUIDs de regles i valors d'estat (0 desactivar, 1 bloquejar, 2 auditar, 6 advertir).
  • Microsoft Configuration Manager (SCCM): permet crear polítiques de Windows Defender Exploit Guard – Attack Surface Reduction, triar regles a bloquejar o auditar i desplegar-les a col·leccions de dispositius.

Altres opcions de configuració:

  • MDM genèric usant el CSP ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules y AttackSurfaceReductionOnlyExclusions per a les exclusions. Els GUID de les regles es codifiquen juntament amb el valor d'estat.
  • Directiva de grup (GPO): a través de Plantilles administratives > Components de Windows > Microsoft Defender Antivirus > Protecció contra vulnerabilitats > Reducció de la superfície d'atac. Permet configurar l'estat de cada regla i una política específica per a exclusions.
  • PowerShell: amb cmdlets com Set-MpPreference y Add-MpPreference es poden habilitar, posar en auditoria, advertiment o desactivar regles, així com gestionar exclusions. És útil per a scripts, automatització puntual o entorns petits.

En petites empreses sense Intune, GPO i PowerShell segueixen sent la via principal. Encara que no hi hagi un “botó màgic” al portal de Defender for Endpoint per empènyer regles ASR, es poden fer servir GPO centrals a Active Directory o scripts d'inici de sessió amb PowerShell per mantenir una configuració homogènia.

Altres capacitats de reducció de superfície d'atac a Defensar

ASR no està sola: forma part d'un conjunt més ampli de controls de reducció de superfície d'atac integrats a Microsoft Defender for Endpoint.

Principals capacitats complementàries:

  • Control d'aplicacions (WDAC): obliga que les aplicacions guanyin confiança abans de poder executar-se. És el següent nivell de duresa després d'ASR, ja que defineix quins binaris poden córrer, no només què poden fer.
  • Accés controlat a carpetes: protegeix directoris clau (documents, escriptori, etc.) davant de modificacions no autoritzades, especialment útil contra ransomware.
  • Control de dispositius: administra l'ús d'USB i altres suports extraïbles per evitar fugides de dades i malware procedent d'unitats externes.
  • Protecció contra vulnerabilitats (Exploit Protection): aplica mitigacions a nivell de sistema i de procés contra tècniques d'explotació conegudes, independent de l'antivirus principal.
  • Aïllament basat en maquinari: protegeix la integritat del sistema mitjançant arrencada segura, VBS, HVCI i contenidors per a navegador (per exemple, aïllament d'Edge).
  • Protecció de xarxa i protecció web: estenen els controls al trànsit sortint, dominis maliciosos i categories de llocs web, integrant-se amb Defender SmartScreen i polítiques web.

Implementar aquestes capacitats en conjunt permet retallar dràsticament la superfície d'atac, però sempre amb el mateix enfocament: començar en mode auditoria, ajustar, introduir exclusions ben pensades i només aleshores passar a bloqueig.

Supervisió d'esdeveniments ASR i cerca avançada

Monitoritzar què estan fent les regles ASR és tan important com configurar-les. Els esdeveniments associats es registren a diversos nivells.

Al propi endpoint, els esdeveniments clau es troben a:

  • Microsoft-Windows-Windows Defensar/Operational, amb IDs com 1121 (regla en mode bloqueig), 1122 (regla en mode auditoria) i 5007 (canvis de configuració).
  • Altres registres específics per a protecció de xarxa, accés controlat a carpetes, protecció contra vulnerabilitats, etc., cadascun amb el conjunt d'IDs rellevants.

Per facilitar la revisió, Microsoft proporciona vistes personalitzades en format XML que filtren només els esdeveniments rellevants per a ASR, protecció de xarxa, accés controlat a carpetes o mitigacions de seguretat. Es poden importar al visualitzador d'esdeveniments o copiar directament la consulta XML.

En entorns amb Defender for Endpoint, la cerca avançada (Advanced Hunting) és el gran aliat. Amb consultes sobre taules com DeviceEvents es poden localitzar, per exemple, tots els trets de regles ASR mitjançant consultes del tipus:

Exemple de consulta: DeviceEvents | where ActionType startswith "Asr"

Aquesta cerca està optimitzada per reduir soroll mostrant només processos únics per hora. Si el mateix esdeveniment ocorre en diversos dispositius entre les 14.15 i les 14.45, es veurà una sola entrada amb la marca de temps del primer cas, cosa que facilita l'anàlisi sense veure's sepultat per milers de files repetides.

Bones pràctiques i reptes en reduir la superfície d'atac

Reduir la superfície datac és una carrera de fons i xoca de ple amb algunes inèrcies de negoci. Hi ha reptes evidents i pràctiques recomanades que ajuden a portar-lo a bon port.

principals reptes:

  • Dependències complexes: aplicacions i sistemes heretats que depenen de components obsolets o insegurs, difícils de tocar sense trencar alguna cosa.
  • Integració de sistemes legacy que no suporten noves mesures de seguretat o requereixen configuracions poc recomanables.
  • Velocitat del canvi tecnològic: noves plataformes i serveis porten nous vectors, obligant a revisar constantment l'estratègia.
  • Limitacions de recursos: manca de personal, eines o pressupost per abastar tots els fronts.
  • Impacte en processos de negoci: més seguretat sol implicar més fricció, i cal trobar l'equilibri adequat.

Bones pràctiques transversals:

  • Gestió d'actius rigorosa, amb inventaris actualitzats de maquinari, programari i dades, etiquetats per criticitat i propietari.
  • Seguretat de xarxa basada en segmentació i visibilitat, amb regles clares sobre què pot parlar amb què, i monitorització del trànsit.
  • Enfortiment de sistemes: desinstal·lar programari innecessari, deshabilitar funcions i comptes per defecte, aplicar pegats ràpidament, revisar la configuració de seguretat de forma periòdica i endurir la telemetria del sistema.
  • Control d'accés estricte, seguint el principi de mínim privilegi, amb MFA, revisions periòdiques de permisos i revocació àgil quan algú canvia de rol o se'n va.
  • Gestió de configuració recolzada en eines que detectin canvis no autoritzats, alertin i, si és possible, reverteixin automàticament.

En entorns cloud, a més, cal tenir cura especialment de configuracions d'emmagatzematge, identitats, APIs i xifratge, ja que un error de permisos o un bucket mal configurat pot exposar dades a Internet sense que ningú se n'adoni fins que és tard.

Al dia a dia, les regles ASR, combinades amb la resta de capacitats de Defender, ajuden a retallar dràsticament les possibilitats d'èxit d'un atac, encara que un usuari fa clic on no deu o un sistema no estava totalment pegat. Ben configurades, de manera bloc després d'una fase seriosa d'auditoria i ajustament, es converteixen en una capa molt eficaç i relativament transparent per a l'usuari final.

Encara que tot aquest entramat de regles, GUIDs, modes i eines pugui semblar esotèric al principi, amb una estratègia ordenada (avaluar, auditar, excloure amb bisturí i només després bloquejar) és perfectament assumible fins i tot per a equips petits. I el benefici és clar: menys superfície que vigilar, menys punts per protegir i menys marge perquè una fallada aïllada acabi convertint-se en una bretxa greu.

Gestió avançada de certificats i signatures de drivers a Windows
Article relacionat:
Gestió avançada de certificats i signatures de drivers a Windows