Configurar las reglas de Reducción de Superficie de Ataque (ASR) para que funcionen correctamente puede ser complicado, sobre todo si las has activado pero no bloquean nada o parecen estar completamente desactivadas. Es curioso, pero a veces las reglas están habilitadas en la configuración, pero otras directivas (como GPO antiguas, configuraciones de Intune o incluso exclusiones de antivirus conflictivas) entran en conflicto con ellas. Esto provoca que no se apliquen correctamente o, peor aún, que no tengan ningún efecto. Si te preguntas por qué estas útiles funciones de seguridad no se activan, aquí tienes algunas soluciones que han funcionado en entornos reales para resolver el problema.
Cómo solucionar problemas cuando las reglas de reducción de la superficie de ataque no se aplican o no funcionan correctamente.
Verifique si existen políticas contradictorias.
Este es el primer problema que hay que solucionar. Windows suele tomar directivas de varias fuentes, como GPO locales, perfiles de Intune o incluso otras herramientas de terceros, lo que puede provocar conflictos. La última directiva aplicada suele prevalecer, o a veces se fusionan inesperadamente, alterando la configuración deseada. Básicamente, una directiva puede indicar «activar el bloqueo», pero otra GPO puede indicar «no aplicar nada aquí», por lo que no ocurre nada. En algunos casos, esto falla la primera vez y luego funciona tras reiniciar o actualizar el sistema; en otros, el problema persiste hasta que se resuelven los conflictos.
Para ver qué se está aplicando, abra PowerShell como administrador y ejecute:
Get-MpPreference | Select-Object *asr*
Este comando muestra las reglas de reducción de la superficie de ataque actuales y sus estados. Consulte AttackSurfaceReductionRules_Ids y AttackSurfaceReductionRules_Actions. Si están configuradas como No configuradas o Deshabilitadas, ahí tiene la clave. Además, ejecute rsop.msc para ver qué GPO se están aplicando realmente. Para Intune, verifique en Seguridad de endpoints > Reducción de la superficie de ataque que ningún otro perfil esté entrando en conflicto o sobrescribiendo su configuración.
A veces, basta con reordenar un par de políticas o eliminar reglas duplicadas. Porque, claro, Windows tiene que complicarlo más de lo necesario.
Revise la lista de exclusiones de reglas de ASR.
Las reglas ASR tienen su propia lista de exclusiones, independiente de la configuración de exclusiones habitual de Defender. Si un proceso, carpeta o hash se encuentra en esa lista, la regla simplemente ignora esa actividad. Esto puede ser un verdadero problema cuando los administradores copian exclusiones amplias (como unidades completas o comodines) y, accidentalmente, dañan la protección. Si las reglas no funcionan correctamente, conviene revisar esta lista.
Correr:
Get-MpPreference | Select-Object *asr*
y busque AttackSurfaceReductionOnlyExclusions. Si contiene rutas o hashes, compárelos con sus políticas. A veces, borrar o restringir las exclusiones, especialmente las más generales, puede reactivar las reglas. Asegúrese de no excluir procesos críticos como wscript.exe o rundll32.exe.
Tras la limpieza, vuelve a aplicar las políticas y comprueba si hay alguna diferencia. Vale la pena intentarlo, sobre todo porque las exclusiones generalizadas contradicen en gran medida el propósito de las reglas ASR.
Verifique que la protección basada en la nube esté habilitada.
Muchas reglas modernas de reconocimiento automático de voz (ASR) dependen de algún servicio en la nube para detecciones rápidas, como Microsoft MAPS o Microsoft Active Protection Service. Si este servicio no está habilitado, las reglas a veces no se activan o responden con lentitud, lo que genera confusión sobre su funcionamiento. Esto ocurre especialmente con las reglas que dependen de veredictos en tiempo real desde la nube.
Compruébelo a través de la aplicación Seguridad de Windows:
- Dirígete a Protección contra virus y amenazas > Configuración de protección contra virus y amenazas > Administrar configuración
- Asegúrese de que la Protección en la nube y el Envío automático de muestras estén activados.
En la consola de administración (como Intune o GPO), asegúrese de que las directivas no deshabiliten la protección en la nube. A veces, una opción o configuración se desactiva por error, probablemente porque un administrador del sistema intentaba solucionar problemas de rendimiento o falsos positivos. Sin embargo, sin conexión a la nube, las reglas ASR pierden gran parte de su eficacia.
Reinicia y verifica los estados del servicio.
Sí, reiniciar el sistema parece obvio, pero a veces es la solución. Tras aplicar nuevas directivas, algunos servicios necesitan reiniciarse para cargar la nueva configuración. Abre Services.msc y verifica que el servicio de antivirus Microsoft Defender esté en ejecución y configurado en Automático. Si está detenido o deshabilitado, las reglas no se aplicarán, y esa puede ser la causa principal del problema.
Tras reiniciar el sistema, realiza una prueba rápida: ¿se activan las reglas? Por ejemplo, ejecuta un archivo de prueba conocido o intenta ejecutar un script que debería activar una regla ASR específica (como la regla *Bloquear contenido ejecutable del correo electrónico y el correo web*).Si no funciona, verifica el estado de Defender y del centro de seguridad. A veces, simplemente esperar a que los servicios se inicialicen correctamente resuelve el problema.
Consejo especial: Solucione el bloqueo de la impresora/dispositivo USB.
Si intentas incluir una impresora o dispositivo USB específico en la lista blanca, pero las reglas ASR aún lo bloquean, probablemente se deba a la regla especial «Bloquear la ejecución de procesos no confiables y sin firmar desde USB».Esta regla ignora las exclusiones generales y considera el origen del dispositivo, no solo la ruta del archivo. Por lo tanto, agregar una carpeta o un proceso a las exclusiones podría no ser suficiente.
En su lugar, debe agregar rutas o entradas de registro precisas directamente a su directiva ASR (ya sea mediante Intune o Directiva de grupo) para ese dispositivo o aplicación específicos. Tenga en cuenta que modificar estas reglas reduce la protección si no se hace con cuidado, así que verifique qué rutas de archivo o hashes son seguros para permitir.
Y oye, vale la pena probar primero en una máquina, porque esta regla puede ser *molesta*, ya que a veces bloquea cosas legítimas incluso después de las exclusiones.
En definitiva, resolver los problemas de las reglas ASR suele implicar desmantelar capas de políticas, exclusiones y servicios, y a veces reiniciar el sistema. Porque, claro, Windows siempre tiene que complicar las cosas innecesariamente.