Error de Microsoft Office durante la actualización de Secure Exchanges (bloqueo de ASR)
1. Context
Microsoft Defender incluye una regla de seguridad llamada "Bloquear contenido ejecutable del cliente de correo electrónico y correo web" que bloquea el contenido ejecutable de los clientes de correo electrónico. Esta regla bloquea todo el contenido considerado ejecutable cuando proviene de un correo electrónico o un cliente de correo electrónico (Outlook, correo web, etc.).
Secure Exchanges utiliza ClickOnce para implementar actualizaciones en C:\Users\[nombre de usuario]\AppData\Local\Apps\2.0\ Parámetros de la regla ASR:
Configuración | Valor |
Nombre de la regla | Bloquear contenido ejecutable del cliente de correo electrónico y del correo web |
GUÍA | BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 |
Nombre de Intune | Ejecución de contenido ejecutable (exe, dll, ps, js, vbs, etc.) eliminado del correo electrónico (cliente de correo web/correo) (sin excepciones) |
El bloqueo se produce durante la actualización del conector de Secure Exchanges, no durante la instalación inicial.
2. Identificar el bloqueo en Microsoft Defender
2.1 Consulta de Kusto (Búsqueda avanzada)
Para confirmar que la regla ASR es responsable del problema, use la siguiente consulta en Microsoft 365 Defender > Búsqueda avanzada:
Eventos del dispositivo
| donde ActionType == "AsrExecutableEmailContentBlocked"
| donde FileName contiene "SecureExchanges"
| Marca de tiempo del proyecto, nombre del dispositivo, nombre del archivo, ruta de la carpeta, SHA256
| Ordenar por marca de tiempo Descripción
2.2 Resultado típico
En los resultados verás:
- Tipo de acción : AsrExecutableEmailContentBlocked
- Nombre del archivo: SecureExchangesSDK.dll
- Ruta de carpeta : C:\Users\[nombre de usuario]\AppData\Local\Apps\2.0\...
3. ¿Por qué está bloqueado SecureExchangesSDK.dll?
Secure Exchanges utiliza un componente de software (DLL) para:
- Administrar la comunicación segura entre Outlook y el servidor
- Confirmar acciones realizadas en Outlook (envío de mensajes cifrados)
- Procesamiento de mensajes cifrados/descifrados
Esto no es una amenaza real. Es un falso positivo común en entornos seguros.
4. Principio de seguridad: exclusiones selectivas
Nunca excluya toda la carpeta C:\Users\*\AppData\Local\Apps\2.0\
ClickOnce almacena TODAS las aplicaciones implementadas mediante ClickOnce en esta carpeta. Al excluir esta carpeta, usted:
- Deshabilitar la protección ASR para todas las aplicaciones ClickOnce
- Crear una vulnerabilidad de seguridad importante
- Permitir que un atacante implemente malware a través de ClickOnce sin ser detectado
5. Comprensión de los tipos de exclusiones de ASR
Punto crucial: El tipo de exclusión depende de la herramienta de gestión. Esta distinción es esencial para la seguridad.
Herramienta | Tipo de exclusión | Impacto |
Intune/MDE | Por regla | Exclusión aplicada SÓLO a la regla específica. |
Oficina General de Correos | Global | Exclusión aplicada a TODAS las reglas ASR activas. |
MECM / SCCM | Global | Exclusión aplicada a TODAS las reglas ASR activas. |
PowerShell | Global | Exclusión aplicada a TODAS las reglas ASR activas. |
6. Archivos a excluir
Las siguientes rutas deben agregarse a las exclusiones:
DLL principales de Secure Exchanges
C:\Users\*\AppData\Local\Temp\Deployment\*\*\SecureExchangesSDK.dll
C:\Users\*\AppData\Local\Temp\Deployment\*\*\OSecureExchange.dll
C:\Users\*\AppData\Local\Temp\Deployment\*\*\OSecureExchange.resources.dll
C:\Users\*\AppData\Local\Apps\2.0\*\*\SecureExchangesSDK.dll
C:\Users\*\AppData\Local\Apps\2.0\*\*\OSecureExchange.dll
C:\Users\*\AppData\Local\Apps\2.0\*\*\OSecureExchange.resources.dll DLL de iText
C:\Users\*\AppData\Local\Temp\Deployment\*\*\itext.barcodes.dll
C:\Users\*\AppData\Local\Temp\Deployment\*\*\itext.bouncy-castle-adapter.dll
C:\Users\*\AppData\Local\Temp\Deployment\*\*\itext.bouncy-castle-connector.dll
C:\Users\*\AppData\Local\Temp\Deployment\*\*\itext.commons.dll
C:\Users\*\AppData\Local\Temp\Deployment\*\*\itext.forms.dll
C:\Users\*\AppData\Local\Temp\Deployment\*\*\itext.io.dll
C:\Users\*\AppData\Local\Temp\Deployment\*\*\itext.kernel.dll
C:\Users\*\AppData\Local\Temp\Deployment\*\*\itext.layout.dll
C:\Users\*\AppData\Local\Temp\Deployment\*\*\itext.pdfa.dll
C:\Users\*\AppData\Local\Temp\Deployment\*\*\itext.pdfua.dll
C:\Users\*\AppData\Local\Temp\Deployment\*\*\itext.sign.dll
C:\Users\*\AppData\Local\Temp\Deployment\*\*\itext.styledxmlparser.dll
C:\Users\*\AppData\Local\Temp\Deployment\*\*\itext.svg.dll
C:\Users\*\AppData\Local\Apps\2.0\*\*\itext.barcodes.dll
C:\Users\*\AppData\Local\Apps\2.0\*\*\itext.bouncy-castle-adapter.dll
C:\Users\*\AppData\Local\Apps\2.0\*\*\itext.bouncy-castle-connector.dll
C:\Users\*\AppData\Local\Apps\2.0\*\*\itext.commons.dll
C:\Users\*\AppData\Local\Apps\2.0\*\*\itext.forms.dll
C:\Users\*\AppData\Local\Apps\2.0\*\*\itext.io.dll
C:\Users\*\AppData\Local\Apps\2.0\*\*\itext.kernel.dll
C:\Users\*\AppData\Local\Apps\2.0\*\*\itext.layout.dll
C:\Users\*\AppData\Local\Apps\2.0\*\*\itext.pdfa.dll
C:\Users\*\AppData\Local\Apps\2.0\*\*\itext.pdfua.dll
C:\Users\*\AppData\Local\Apps\2.0\*\*\itext.sign.dll
C:\Users\*\AppData\Local\Apps\2.0\*\*\itext.styledxmlparser.dll
C:\Users\*\AppData\Local\Apps\2.0\*\*\itext.svg.dll DLL de terceros
C:\Users\*\AppData\Local\Temp\Deployment\*\*\BouncyCastle.Cryptography.dll
C:\Users\*\AppData\Local\Temp\Deployment\*\*\CsvHelper.dll
C:\Users\*\AppData\Local\Temp\Deployment\*\*\Newtonsoft.Json.dll
C:\Users\*\AppData\Local\Temp\Deployment\*\*\PhoneNumbers.dll
C:\Users\*\AppData\Local\Apps\2.0\*\*\BouncyCastle.Cryptography.dll
C:\Users\*\AppData\Local\Apps\2.0\*\*\CsvHelper.dll
C:\Users\*\AppData\Local\Apps\2.0\*\*\Newtonsoft.Json.dll
C:\Users\*\AppData\Local\Apps\2.0\*\*\PhoneNumbers.dll Se necesitan varios caracteres comodín (*\*\) para cubrir la estructura de carpeta variable de ClickOnce.
A. Solicitud a través de Intune
Intune le permite configurar exclusiones por regla (ASR Only Per Rule Exclusions), lo que limita el impacto en la seguridad general.
- Vaya a Seguridad de endpoints → Reducción de la superficie de ataque
- Seleccionar o crear una política de ASR
- Localice la regla " Bloquear contenido ejecutable del cliente de correo electrónico y correo web "
- En Exclusiones por regla solo de ASR , agregue las rutas de la sección 6
- Guardar e implementar la política
B. Aplicación mediante GPO (implementación empresarial)
Las exclusiones configuradas a través de GPO se aplican a TODAS las reglas de ASR, no solo a la regla en cuestión.
- Abra gpedit.msc (o GPMC para un dominio)
- Vaya a: Configuración del equipo → Plantillas administrativas → Componentes de Windows → Antivirus de Microsoft Defender → Protección contra vulnerabilidades de seguridad de Microsoft Defender → Reducción de la superficie de ataque
- Haga doble clic en " Excluir archivos y rutas de las reglas de reducción de la superficie de ataque ".
- Activa la estrategia y agrega las rutas de la sección 6
- Aplicar la estrategia: gpupdate /force
C. Aplicación mediante PowerShell
Al igual que con GPO, las exclusiones de PowerShell son GLOBALES y se aplican a todas las reglas de ASR.
Añadir una exclusión:
Add-MpPreference -AttackSurfaceReductionOnlyExclusions "C:\Usuarios\*\AppData\Local\Apps\2.0\*\SecureExchangesSDK.dll"
Consulte las exclusiones actuales:
Obtener-MpPreference | Seleccionar-Objeto -ExpandirPropiedad AtaqueSuperficieReducciónSoloExclusiones
7. Verifique que la excepción funcione
- Esperar la propagación (hasta 90 minutos para GPO/Intune)
- Probar una actualización de Secure Exchanges en una estación de trabajo *Esto sucede automáticamente cuando se reinicia Outlook
- Consulta Búsqueda avanzada para ver si aparecen nuevos bloques.
- Si no se encuentran resultados → La exclusión está funcionando correctamente
Si el problema persiste
Posibles causas:
- La exclusión no se aplicó correctamente (verifique la sintaxis).
- GPO/Intune aún no se ha implementado.
- Un conflicto con otra política de seguridad
Acciones de solución de problemas:
- Vuelva a ejecutar la consulta de Kusto para identificar todos los archivos bloqueados
- Compruebe si se están bloqueando nuevas DLL y agréguelas a las exclusiones.
- Verificar la aplicación de las GPO: gpresult /h C:\temp\rapport_gpo.html
- Forzar una actualización: gpupdate /force
Referencias de Microsoft
- Utilice reglas de reducción de la superficie de ataque para prevenir infecciones de malware - Microsoft Defender for Endpoint | Microsoft Learn
- Información de referencia sobre las reglas de reducción de la superficie de ataque - Microsoft Defender para Endpoint | Microsoft Learn
Related Articles
Error al agregar un archivo o documento de firma con Secure Exchanges
Si se produce un error al intentar adjuntar un archivo o documento para firmar en un correo electrónico protegido por Secure Exchanges, suele significar que el archivo ya está siendo utilizado por otra aplicación o que su antivirus lo ha bloqueado ...¿Cuál es la política de reembolso y actualización de Secure Exchanges?
En Secure Exchanges, nos comprometemos a brindar un servicio de alta calidad a nuestros clientes. Lea nuestra política de reembolsos a continuación: Periodo de prueba gratuito Ofrecemos un periodo de prueba gratuito de 30 días para que descubras ...Cómo activar una licencia API en Intercambios Seguros
Activar una licencia de API le permite usar las funciones avanzadas de Secure Exchanges en sus aplicaciones. Siga estos pasos: Puede encontrar la documentación de ayuda de la API y el SDK aquí: https://help.secure-exchanges.com 1. Inicie sesión en el ...