es.phhsnews.com


es.phhsnews.com / Cómo funciona la nueva protección contra ataques de Windows Defender (y cómo configurarlo)

Cómo funciona la nueva protección contra ataques de Windows Defender (y cómo configurarlo)


La Actualización de creadores de errores de Microsoft finalmente agrega protección de exploits integrada a Windows. Antes tenía que buscar esto en la forma de la herramienta EMET de Microsoft. Ahora es parte de Windows Defender y se activa de manera predeterminada.

Cómo funciona la Protección contra vulnerabilidades de Windows Defender

RELACIONADO: Novedades en la actualización de creadores de Fall de Windows 10, disponible ahora

Hace tiempo que recomendamos usar -explique software como Enhanced Mitigation Experience Toolkit de Microsoft (EMET) o el más fácil de usar Malwarebytes Anti-Malware, que contiene una poderosa característica anti-explotación (entre otras cosas). El EMET de Microsoft se usa ampliamente en redes más grandes donde los administradores del sistema lo pueden configurar, pero nunca se instaló por defecto, requiere configuración y tiene una interfaz confusa para usuarios promedio.

Programas antivirus típicos, como el propio Windows Defender, usan definiciones de virus y heurística para atrapar programas peligrosos antes de que puedan ejecutarse en su sistema. Las herramientas anti-explotación en realidad evitan que muchas técnicas populares de ataque funcionen, por lo que esos programas peligrosos no entran en su sistema en primer lugar. Permiten ciertas protecciones del sistema operativo y bloquean las técnicas comunes de explotación de la memoria, de modo que si se detecta un comportamiento similar al de un exploit, terminarán el proceso antes de que ocurra algo malo. En otras palabras, pueden proteger contra muchos ataques de día cero antes de que se apliquen parches.

Sin embargo, podrían causar problemas de compatibilidad, y sus configuraciones podrían tener que modificarse para diferentes programas. Es por eso que EMET se usó generalmente en redes empresariales, donde los administradores del sistema podían modificar la configuración, y no en las PC domésticas.

Windows Defender ahora incluye muchas de estas mismas protecciones, que originalmente se encontraron en EMET de Microsoft. Están habilitados por defecto para todos, y son parte del sistema operativo. Windows Defender configura automáticamente las reglas apropiadas para los diferentes procesos que se ejecutan en su sistema. (Malwarebytes aún afirma que su característica anti-explotación es superior, y aún recomendamos usar Malwarebytes, pero es bueno que Windows Defender también tenga incorporado algo de esto.)

Esta función se habilita automáticamente si se ha actualizado. a la Actualización de Creadores de Otoño de Windows 10, y EMET ya no es compatible. EMET ni siquiera se puede instalar en las PC que ejecutan la Actualización de Fall Creators. Si ya tiene EMET instalado, la actualización lo eliminará.

RELACIONADO: Cómo proteger sus archivos de Ransomware con el nuevo "Acceso a carpetas controladas" de Windows Defender

La Actualización de creadores de errores de Windows 10 también incluye un función de seguridad relacionada denominada Acceso controlado a la carpeta. Está diseñado para detener el malware al permitir que los programas confiables modifiquen los archivos en sus carpetas de datos personales, como documentos e imágenes. Ambas funciones son parte de "Windows Defender Exploit Guard". Sin embargo, el acceso a carpetas controladas no está habilitado de forma predeterminada.

Cómo confirmar que la protección de exploits está activada

Esta función se habilita automáticamente para todas las PC con Windows 10. Sin embargo, también se puede cambiar a "Modo de auditoría", lo que permite a los administradores del sistema controlar un registro de lo que Protección contra exploits habría hecho para confirmar que no causará ningún problema antes de habilitarlo en PC críticas.

Para confirmar que esto la característica está habilitada, puede abrir el Centro de seguridad de Windows Defender. Abra su menú Inicio, busque Windows Defender y haga clic en el acceso directo del Centro de seguridad de Windows Defender.

Haga clic en el ícono de "Aplicación y control del navegador" en forma de ventana en la barra lateral. Desplácese hacia abajo y verá la sección "Protección de explotación". Le informará que esta función está habilitada.

Si no ve esta sección, es probable que su PC aún no haya actualizado a la Actualización de Fall Creators.

Cómo configurar la Protección contra ataques de Windows Defender

Advertencia : Probablemente no quiera configurar esta característica. Windows Defender ofrece muchas opciones técnicas que puede ajustar, y la mayoría de las personas no sabrá qué están haciendo aquí. Esta función está configurada con una configuración predeterminada inteligente que evitará causar problemas, y Microsoft puede actualizar sus reglas a lo largo del tiempo. Las opciones aquí parecen principalmente destinadas a ayudar a los administradores del sistema a desarrollar reglas para el software y desplegarlas en una red empresarial.

Si desea configurar Exploit Protection, diríjase a Windows Defender Security Center> App y control del navegador, desplácese hacia abajo y haga clic en "Exploit protection settings" en Exploit protection.

Verá dos pestañas aquí: Configuración del sistema y Programa configuraciones. La configuración del sistema controla la configuración predeterminada utilizada para todas las aplicaciones, mientras que la configuración del programa controla las configuraciones individuales utilizadas para varios programas. En otras palabras, la configuración del programa puede anular la configuración del sistema para programas individuales. Podrían ser más restrictivos o menos restrictivos.

En la parte inferior de la pantalla, puede hacer clic en "Exportar configuración" para exportar su configuración como un archivo .xml que puede importar en otros sistemas. La documentación oficial de Microsoft ofrece más información sobre la implementación de reglas con Group Policy y PowerShell.

En la pestaña Configuración del sistema, verá las siguientes opciones: Control Flow Guard (CFG), Prevención de ejecución de datos (DEP), Forzar aleatorización para imágenes (ASLR obligatorio), Asignaciones de memoria aleatorizar (ASLR ascendente), Validar cadenas de excepciones (SEHOP) y Validar la integridad del montón. Todos están activados por defecto, excepto la opción Aleatorización de fuerza para imágenes (ASLR obligatorio). Eso es probable porque ASLR obligatorio causa problemas con algunos programas, por lo que puede tener problemas de compatibilidad si lo habilita, dependiendo de los programas que ejecuta.

De nuevo, realmente no debería tocar estas opciones a menos que sepa lo que está obra. Los valores predeterminados son razonables y se eligen por un motivo.

RELACIONADO: Por qué la versión de Windows de 64 bits es más segura

La interfaz proporciona un breve resumen de lo que hace cada opción, pero usted tiene que investigar un poco si quiere saber más. Anteriormente hemos explicado qué hacen DEP y ASLR aquí.

Haga clic en la pestaña "Configuración del programa" y verá una lista de diferentes programas con configuraciones personalizadas. Las opciones aquí permiten anular la configuración general del sistema. Por ejemplo, si selecciona "iexplore.exe" en la lista y hace clic en "Editar", verá que la regla aquí habilita forzosamente ASLR obligatorio para el proceso de Internet Explorer, aunque no esté habilitado por defecto en todo el sistema.

No debe alterar estas reglas incorporadas para procesos como runtimebroker.exe y spoolsv.exe. Microsoft los agregó por una razón.

Puede agregar reglas personalizadas para programas individuales haciendo clic en "Agregar programa para personalizar". Puede "Agregar por nombre de programa" o "Elegir ruta de archivo exacta", pero especificar una ruta de archivo exacta es mucho más preciso.

Una vez agregado, puede encontrar una larga lista de configuraciones que no serán significativas para la mayoría gente. La lista completa de configuraciones disponibles aquí es: Arbitrary code guard (ACG), bloquear imágenes de baja integridad, bloquear imágenes remotas, bloquear fuentes no confiables, Code integrity guard, Control flow guard (CFG), Data Execution Prevention (DEP), deshabilitar puntos de extensión , Deshabilitar llamadas al sistema Win32k, No permitir procesos secundarios, Exportar filtrado de direcciones (EAF), Forzar aleatorización para imágenes (ASLR obligatorio), Importar filtrado de direcciones (IAF), Aleatorizar asignaciones de memoria (ASLR ascendente), Simular ejecución (SimExec) , Validar invocación de API (CallerCheck), validar cadenas de excepciones (SEHOP), validar el uso del control, validar la integridad del montón, validar la integridad de la dependencia de la imagen y validar la integridad de la pila (StackPivot). De nuevo, no debe tocar estas opciones a menos que Es un administrador del sistema que quiere bloquear una aplicación y realmente sabe lo que está haciendo.

Como prueba, habilitamos todas las opciones para iexplore.exe y tratamos de ejecutarlo. Internet Explorer acaba de mostrar un mensaje de error y se negó a iniciarse. Ni siquiera vimos una notificación de Windows Defender que explicara que Internet Explorer no funcionaba debido a nuestra configuración.

No intente restringir ciegamente las aplicaciones o provocará problemas similares en su sistema. Serán difíciles de solucionar si no recuerda que también cambió las opciones.

Si todavía usa una versión anterior de Windows, como Windows 7, puede obtener funciones de protección de exploits instalando EMET o Malwarebytes de Microsoft. Sin embargo, el soporte para EMET se detendrá el 31 de julio de 2018, ya que Microsoft quiere impulsar a las empresas hacia Windows 10 y la Protección contra vulnerabilidades de Windows Defender en su lugar.


Cómo funciona el algoritmo de clasificación de feeds de noticias de Facebook

Cómo funciona el algoritmo de clasificación de feeds de noticias de Facebook

Facebook no utiliza un feed cronológico, como lo hace Twitter (o como lo hace Facebook). En cambio, lo que ves en tu News Feed está determinado por un algoritmo que ordena las cosas según lo que Facebook cree que quieres ver. Esto es motivo de cierta consternación. De vez en cuando, una página o persona que sigo en Facebook se queja de que sus publicaciones solo llegan a una pequeña fracción de sus seguidores y les ruega a todos que las agreguen a su lista de Ver Primero para que puedan "Sigue llegando a todos los fanáticos".

(how-top)

Cómo instalar e instalar Beta de Windows Home Server

Cómo instalar e instalar Beta de Windows Home Server "Vail" en VirtualBox

Si no tiene una máquina adicional o es un usuario pionero que quiere probar a Vail, crear una VM es una buena elección Para completar nuestra serie de instalación de WHS "Vail" Beta de forma virtual, consideramos su instalación en VirtualBox de Oracle. Anteriormente le mostramos cómo instalar WHS Vail en los siguientes productos de VMware: Estación de trabajo VMware Servidor VMware Player Hoy completamos nuestra serie Vail VM y le mostramos cómo instalarla en el VirtualBox gratuito de Oracle.

(how-top)