Configurar la protección contra los exploits de Windows Defender en Windows 10

La protección contra exploits es una nueva función de seguridad de Windows Defender que Microsoft introdujo en el sistema operativo Fall Creators Update.

Exploit Guard es un conjunto de funciones que incluye protección contra vulnerabilidades, reducción de la superficie expuesta a ataques, protección de red y acceso controlado a carpetas.

La protección contra exploits se puede describir mejor como una versión integrada de EMET (Exploit Mitigation Experience Toolkit), una herramienta de seguridad que la empresa completará a mediados de 2018.

Microsoft ha argumentado anteriormente que el sistema operativo Windows 10 hará innecesario ejecutar EMET con Windows; al menos un investigador ha negado la afirmación de Microsoft.

Índice

    Proteja Windows Defender de exploits

    La protección contra exploits está habilitada de manera predeterminada cuando Windows Defender está habilitado. La característica es la única característica de Exploit Guard que no requiere la inclusión de protección en tiempo real en Windows Defender.

    La característica se puede configurar en el Centro de seguridad de Windows Defender, mediante los comandos de PowerShell o como una política.

    Configuración en el Centro de seguridad de Windows Defender

    Protección contra exploits

    Puede configurar la protección contra vulnerabilidades en el Centro de seguridad de Windows Defender.

    1. Utilice Windows-I para abrir el programa "Configuración".
    2. Vaya a Actualización y seguridad> Windows Defender.
    3. Seleccione Abrir el Centro de seguridad de Windows Defender.
    4. En la nueva ventana que se abre, seleccione el control del programa y el navegador como enlace en la barra lateral.
    5. Busque la entrada de protección contra vulnerabilidades en la página y haga clic en configuración de protección contra vulnerabilidades.

    Los ajustes se dividen en ajustes del sistema y ajustes del programa.

    La configuración del sistema enumera los mecanismos de protección disponibles y su estado. Lo siguiente está disponible en Windows 10 Fall Creators Update:

    • Protección de flujo de control (CFG): habilitada de manera predeterminada.
    • Prevención de ejecución de datos (DEP): habilitada de forma predeterminada.
    • Aleatorización forzada de imágenes (ASLR obligatorio): desactivada de forma predeterminada.
    • La asignación de memoria aleatoria (ASLR ascendente) es la predeterminada.
    • Comprobación de cadena de excepción (SEHOP): habilitada de forma predeterminada.
    • Comprobación de integridad del montón: habilitada de forma predeterminada.

    Puede cambiar el estado de cualquier opción a "activado de forma predeterminada", "deshabilitado de forma predeterminada" o "usado de forma predeterminada".

    La configuración del programa le brinda la capacidad de configurar la protección para programas y aplicaciones individuales. Esto funciona de manera similar a cómo puede agregar excepciones en Microsoft EMET para ciertos programas; es bueno si el programa se comporta incorrectamente cuando ciertos módulos de seguridad están habilitados.

    Bastantes programas tienen excepciones predeterminadas. Esto incluye svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe y otros programas principales de Windows. Tenga en cuenta que puede anular estas excepciones seleccionando los archivos y haciendo clic en editar.

    configuración del programa de protección contra exploits

    Haga clic en "agregar programa para personalizar" para agregar el programa por nombre o ruta exacta al archivo en la lista de excepciones.

    Puede establecer el estado de todas las protecciones admitidas por separado para cada programa que agregue en la configuración del programa. Además de anular el valor predeterminado del sistema y forzar su activación o desactivación, también es posible establecerlo en "solo auditoría". Este último registra eventos que habrían funcionado si la protección hubiera estado habilitada, pero solo registraría el evento en el registro de eventos de Windows.

    La configuración del programa enumera configuraciones de seguridad adicionales que no puede configurar en la configuración del sistema porque están configuradas para funcionar solo en el nivel de la aplicación.

    Estos son:

    • Protección de código arbitrario (ACG)
    • Un golpe a la baja integridad de la imagen
    • Bloquear imágenes eliminadas
    • Bloquear fuentes no confiables
    • Guardia de integridad de código
    • Deshabilitar puntos de extensión
    • Deshabilitar las llamadas del sistema Win32
    • No permitir procesos secundarios
    • Filtrado de direcciones de exportación (EAF)
    • Filtrado de direcciones de importación (IAF)
    • Simular ejecución (SimExec)
    • Comprobar la API de llamadas (CallerCheck)
    • Comprobar el uso de la pluma
    • Comprobar la integración de dependencias de imagen
    • Comprobación de integridad de pila (StackPivot)

    Configure la protección contra vulnerabilidades con PowerShell

    Puede usar PowerShell para instalar, eliminar o enumerar medidas de mitigación. Están disponibles los siguientes comandos:

    Para enumerar todas las medidas para debilitar este proceso: Get-ProcessMitigation -Name processName.exe

    Para configurar medidas de mitigación: Set-ProcessMitigation - <выкананы файл праграмы> - ,,

    • Ámbito: ya sea -Sistema o -Nombre <імя прыкладання>.
    • Acción: ya sea -Habilitar o -Deshabilitar.
    • Mitigación: El nombre de la mitigación. Consulte la siguiente tabla. Puedes separar la relajación con una coma.

    Ejemplos:

    • Establecer-Mitigación de procesos-Sistema-Habilitar DEP
    • Establecer-Processmitigation -Nombre test.exe -Quitar -Deshabilitar DEP
    • Set-ProcessMitigation -Name processName.exe -Habilitar EnableExportAddressFilterPlus -EAFModules dllName1.dll, dllName2.dll
    MitigaciónSe refiere aCmdlets de PowerShellCmdlet de modo de auditoría
    Controlador de flujo de control (CFG)Nivel de sistema y aplicaciónCFG, StrictCFG, SuppressExportsAuditoría no disponible
    Prevención de ejecución de datos (DEP)Nivel de sistema y aplicaciónDEP, emular AtlThunksAuditoría no disponible
    Aleatorización forzada de imágenes (ASLR obligatorio)Nivel de sistema y aplicaciónForzar ReubicarAuditoría no disponible
    Asignación aleatoria de memoria (ASLR ascendente)Nivel de sistema y aplicaciónDe abajo hacia arriba, alta entropíaAuditoría no disponible
    Verificación de cadena de excepción (SEHOP)Nivel de sistema y aplicaciónSEHOP, SEHOPTelemetríaAuditoría no disponible
    Comprobar la integridad del montón.Nivel de sistema y aplicaciónTerminateOnHeapErrorAuditoría no disponible
    Protección de código arbitrario (ACG)Solo nivel de aplicacióncódigo dinámicoAuditDynamicCode
    Bloquear imágenes con baja integridadSolo nivel de aplicaciónBloqueLowLabelAuditImageLoad
    Bloquear imágenes eliminadasSolo nivel de aplicaciónBlockRemoteImagesAuditoría no disponible
    Bloquear fuentes no confiablesSolo nivel de aplicaciónDeshabilitar fuentes no del sistemaAuditFont, FontAuditOnly
    Guardia de integridad de códigoSolo nivel de aplicaciónBlockNonMicrosoftSigned, AllowStoreSignedAuditMicrosoftFirmado, AuditStoreFirmado
    Deshabilitar puntos de extensiónSolo nivel de aplicaciónExtensionPointAuditoría no disponible
    Deshabilitar las llamadas del sistema Win32kSolo nivel de aplicaciónDeshabilitar Win32kSystemCallsAuditSystemCall
    No permitir procesos secundariosSolo nivel de aplicaciónDisallowChildProcessCreationAuditChildProcess
    Filtrado de direcciones de exportación (EAF)Solo nivel de aplicaciónEnableExportAddressFilterPlus, EnableExportAddressFilter [1]Auditoría no disponible
    Filtrado de direcciones de importación (IAF)Solo nivel de aplicaciónEnableImportAddressFilterAuditoría no disponible
    Simular ejecución (SimExec)Solo nivel de aplicaciónHabilitar RopSimExecAuditoría no disponible
    Comprobar la API de llamadas (CallerCheck)Solo nivel de aplicaciónHabilitar RopCallerCheckAuditoría no disponible
    Comprobar el uso de la plumaSolo nivel de aplicaciónManejo estrictoAuditoría no disponible
    Comprobar la integridad de la dependencia de la imagen.Solo nivel de aplicaciónEnforceModuleDepencySigningAuditoría no disponible
    Comprobación de integridad de pila (StackPivot)Solo nivel de aplicaciónEnableRopStackPivotAuditoría no disponible

    Configuraciones de importación y exportación

    Las configuraciones se pueden importar y exportar. Puede hacer esto usando la configuración de protección contra vulnerabilidades de Windows Defender en el Centro de seguridad de Windows Defender, usando PowerShell, usando políticas.

    Alternativamente, las configuraciones de EMET se pueden convertir para que se puedan importar.

    Utilice la configuración de protección contra vulnerabilidades

    Puede exportar configuraciones en la aplicación de configuración, pero no importarlas. Las exportaciones agregan todas las relajaciones a nivel de sistema ya nivel de programa.

    Simplemente haga clic en el enlace "exportar configuración" en la protección contra vulnerabilidades para hacerlo.

    Use PowerShell para exportar un archivo de configuración

    1. Abra la información sobre herramientas de Powershell con privilegios elevados.
    2. Get-ProcessMitigation -RegistryConfigFilePath nombre de archivo.xml

    Edite filename.xml para que muestre la ubicación de guardado y el nombre del archivo.

    Use PowerShell para importar un archivo de configuración

    1. Abra la información sobre herramientas de Powershell con privilegios elevados.
    2. Ejecute el siguiente comando: Set-ProcessMitigation -PolicyFilePath filename.xml

    Edite filename.xml para que apunte a la ubicación y el nombre de archivo del archivo XML de configuración.

    Use la directiva de grupo para instalar el archivo de configuración

    usar un conjunto común de protección contra exploits

    Puede establecer archivos de configuración mediante políticas.

    1. Haga clic en la tecla de Windows, escriba gpedit.msc y presione Entrar para iniciar el Editor de directivas de grupo.
    2. Vaya a Configuración del equipo> Plantillas administrativas> Componentes de Windows> Protección contra vulnerabilidades Windows Defender> Protección contra vulnerabilidades.
    3. Haga doble clic en "Usar conjunto de comandos para explotar la configuración de protección".
    4. Habilitar política.
    5. Agregue la ruta y el nombre de archivo del archivo XML de configuración en el campo de parámetros.

    Conversión de archivos EMET

    1. Abra la información sobre herramientas elevada de PowerShell como se describe anteriormente.
    2. Ejecute el comando ConvertTo-ProcessMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath filename.xml

    Cambie emetFile.xml a la ruta y ubicación del archivo de configuración de EMET.

    Cambie filename.xml a la ruta y la ubicación donde desea guardar el archivo de configuración convertido.

    Recursos

    Artículos de interés

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada.

    Subir