Cómo funciona la nueva protección contra exploits de Windows Defender (y cómo configurarla)

Fall Creators Update de Microsoft finalmente agrega protección integrada contra exploits a Windows. Anteriormente tenía que buscar esto en forma de la herramienta EMET de Microsoft.

Fall Creators Update de Microsoft finalmente agrega protección integrada contra exploits a Windows. Anteriormente tenía que buscar esto en forma de la herramienta EMET de Microsoft. Ahora forma parte de Windows Defender y está activado de forma predeterminada.

Cómo funciona la protección contra exploits de Windows Defender

Hace mucho tiempo que recomendamos el uso de software anti-exploit como el Kit de herramientas de experiencia de mitigación mejorada de Microsoft (EMET) o el Malwarebytes Anti-Malware más fácil de usar, que contiene una poderosa función anti-exploit (entre otras cosas). El EMET de Microsoft se usa ampliamente en redes más grandes donde los administradores del sistema pueden configurarlo, pero nunca se instaló de manera predeterminada, requiere configuración y tiene una interfaz confusa para los usuarios promedio.

Los programas antivirus típicos, como el propio Windows Defender, usan definiciones de virus y heurísticas para detectar programas peligrosos antes de que puedan ejecutarse en su sistema. Las herramientas anti-explotación en realidad evitan que muchas técnicas de ataque populares funcionen, por lo que esos programas peligrosos no entran en su sistema en primer lugar. Permiten ciertas protecciones del sistema operativo y bloquean las técnicas comunes de explotación de memoria, de modo que si se detecta un comportamiento similar a la explotación, terminarán el proceso antes de que ocurra algo malo. En otras palabras, pueden proteger contra muchos ataques de día cero antes de ser parcheados.

Sin embargo, podrían causar problemas de compatibilidad y es posible que se deba modificar su configuración para diferentes programas. Es por eso que EMET se usaba generalmente en redes empresariales, donde los administradores de sistemas podían modificar la configuración, y no en las PC hogareñas.

Windows Defender ahora incluye muchas de estas mismas protecciones, que se encontraron originalmente en EMET de Microsoft. Están habilitados de forma predeterminada para todos y son parte del sistema operativo. Windows Defender configura automáticamente las reglas apropiadas para diferentes procesos que se ejecutan en su sistema. (Malwarebytes aún afirma que su función anti-exploit es superior, y todavía recomendamos usar Malwarebytes, pero es bueno que Windows Defender también tenga algo de esto incorporado ahora).

Esta función se habilita automáticamente si se actualizó a Fall Creators Update de Windows 10 y EMET ya no es compatible. EMET ni siquiera se puede instalar en las PC que ejecutan Fall Creators Update. Si ya tiene instalado EMET, la actualización lo eliminará.

La Actualización de creadores de otoño de Windows 10 también incluye una característica de seguridad relacionada llamada Acceso controlado a carpetas. Está diseñado para detener el malware al permitir que solo programas confiables modifiquen archivos en sus carpetas de datos personales, como Documentos e Imágenes. Ambas características son parte de «Windows Defender Exploit Guard». Sin embargo, el acceso controlado a la carpeta no está habilitado de forma predeterminada.

Cómo confirmar que la protección contra exploits está habilitada

Esta característica se habilita automáticamente para todas las PC con Windows 10. Sin embargo, también se puede cambiar al «Modo de auditoría», lo que permite a los administradores del sistema monitorear un registro de lo que habría hecho Protección contra exploits para confirmar que no causará ningún problema antes de habilitarlo en PC críticos.

Para confirmar que esta función está habilitada, puede abrir el Centro de seguridad de Windows Defender. Abra el menú Inicio, busque Windows Defender y haga clic en el acceso directo del Centro de seguridad de Windows Defender.

Haga clic en el icono «Control de aplicación y navegador» en forma de ventana en la barra lateral. Desplázate hacia abajo y verás la sección «Protección contra exploits». Le informará que esta función está habilitada.

Si no ve esta sección, su PC probablemente aún no se haya actualizado a Fall Creators Update.

Cómo configurar la Protección contra vulnerabilidades de seguridad de Windows Defender

Advertencia : probablemente no desee configurar esta función. Windows Defender ofrece muchas opciones técnicas que puede ajustar, y la mayoría de las personas no sabrán lo que están haciendo aquí. Esta función está configurada con una configuración predeterminada inteligente que evitará causar problemas, y Microsoft puede actualizar sus reglas con el tiempo. Las opciones aquí parecen estar destinadas principalmente a ayudar a los administradores de sistemas a desarrollar reglas para el software y desplegarlas en una red empresarial.

Si desea configurar la Protección contra vulnerabilidades, diríjase al Centro de seguridad de Windows Defender> Aplicación y control del navegador, desplácese hacia abajo y haga clic en «Configuración de protección contra vulnerabilidades» en Protección contra vulnerabilidades.

Verá dos pestañas aquí: Configuración del sistema y Configuración del programa. La configuración del sistema controla la configuración predeterminada utilizada para todas las aplicaciones, mientras que la configuración del programa controla la configuración individual utilizada para varios programas. En otras palabras, la configuración del programa puede anular la configuración del sistema para programas individuales.Podrían ser más restrictivos o menos restrictivos.

En la parte inferior de la pantalla, puede hacer clic en «Exportar configuración» para exportar su configuración como un archivo .xml que puede importar en otros sistemas. La documentación oficial de Microsoft ofrece más información sobre la implementación de reglas con Group Policy y PowerShell.

En la pestaña Configuración del sistema, verá las siguientes opciones: Control de protección de flujo (CFG), Prevención de ejecución de datos (DEP), Forzar aleatorización para imágenes (ASLR obligatorio), Aleatorizar asignaciones de memoria (ASLR ascendente), Validar cadenas de excepción (SEHOP) y Validar la integridad del montón. Todos están activados de forma predeterminada, excepto la opción Forzar aleatorización para imágenes (ASLR obligatorio). Eso es probable porque el ASLR obligatorio causa problemas con algunos programas, por lo que podría tener problemas de compatibilidad si lo habilita, dependiendo de los programas que ejecute.

Una vez más, no debería tocar estas opciones a menos que sepa lo que está haciendo. Los valores predeterminados son razonables y se eligen por una razón.

La interfaz proporciona un resumen muy breve de lo que hace cada opción, pero deberá investigar un poco si desea obtener más información. Anteriormente explicamos lo que DEP y ASLR hacen aquí.

Haga clic en la pestaña «Configuración del programa» y verá una lista de diferentes programas con configuraciones personalizadas. Las opciones aquí permiten anular la configuración general del sistema. Por ejemplo, si selecciona «iexplore.exe» en la lista y hace clic en «Editar», verá que la regla aquí habilita la ASLR obligatoria para el proceso de Internet Explorer, a pesar de que no está habilitada por defecto en todo el sistema.

No debe manipular estas reglas integradas para procesos como runtimebroker.exe y spoolsv.exe. Microsoft los agregó por una razón.

Puede agregar reglas personalizadas para programas individuales haciendo clic en «Agregar programa para personalizar». Puede «Agregar por nombre de programa» o «Elegir ruta de archivo exacta», pero especificar una ruta de archivo exacta es mucho más preciso.

Una vez agregado, puede encontrar una larga lista de configuraciones que no serán significativas para la mayoría de las personas. La lista completa de configuraciones disponibles aquí es: Protección de código arbitrario (ACG), Bloquear imágenes de baja integridad, Bloquear imágenes remotas, Bloquear fuentes no confiables, Protección de integridad de código, Protección de flujo de control (CFG), Prevención de ejecución de datos (DEP), Desactivar puntos de extensión , Deshabilitar llamadas al sistema Win32k, No permitir procesos secundarios, Exportar filtrado de direcciones (EAF), Forzar aleatorización para imágenes (ASLR obligatorio), Importar filtrado de direcciones (IAF), Aleatorizar asignaciones de memoria (ASLR ascendente), Simular ejecución (SimExec) , Validar la invocación de la API (CallerCheck), Validar las cadenas de excepción (SEHOP), Validar el uso del identificador, Validar la integridad del montón, Validar la integridad de la dependencia de la imagen y Validar la integridad de la pila (StackPivot).

Nuevamente, no debe tocar estas opciones a menos que sea un administrador del sistema que quiera bloquear una aplicación y realmente sepa lo que está haciendo.

Como prueba, habilitamos todas las opciones para iexplore.exe e intentamos iniciarlo. Internet Explorer solo mostró un mensaje de error y se negó a iniciarse. Ni siquiera vimos una notificación de Windows Defender que explicara que Internet Explorer no funcionaba debido a nuestra configuración.

No intentes restringir ciegamente las aplicaciones, o causarás problemas similares en tu sistema. Serán difíciles de solucionar si no recuerdas que también cambiaste las opciones.

Si todavía usa una versión anterior de Windows, como Windows 7, puede obtener funciones de protección contra vulnerabilidades al instalar EMET o Malwarebytes de Microsoft. Sin embargo, el soporte para EMET se detendrá el 31 de julio de 2018, ya que Microsoft quiere impulsar a las empresas hacia Windows 10 y la Protección contra exploits de Windows Defender.

Rate article
labsfabs.com
Add a comment