Control de aplicaciones de Windows Defender y protección basada en la virtualización de la integridad del códigoWindows Defender Application Control and virtualization-based protection of code integrity

Se aplica aApplies to

  • Windows10Windows 10
  • Windows Server 2016Windows Server 2016

Windows 10 incluye un conjunto de tecnologías de hardware y sistema operativo que, cuando se configuran juntas, permiten a las empresas "bloquear" sistemas Windows 10 para que funcionen con muchas de las propiedades de los dispositivos móviles.Windows 10 includes a set of hardware and OS technologies that, when configured together, allow enterprises to "lock down" Windows 10 systems so they operate with many of the properties of mobile devices. En esta configuración, las tecnologías específicas funcionan juntas para restringir que los dispositivos solo ejecuten aplicaciones autorizadas mediante una característica denominada integridad de código configurable, a la vez que se endurece el sistema operativo frente a ataques de memoria de kernel mediante la protección basada en virtualización de integridad de código (más específicamente, HVCI).In this configuration, specific technologies work together to restrict devices to only run authorized apps by using a feature called configurable code integrity, while simultaneously hardening the OS against kernel memory attacks by using virtualization-based protection of code integrity (more specifically, HVCI).

Las directivas de integridad de código configurables y HVCI son protecciones eficaces que se pueden usar por separado.Configurable code integrity policies and HVCI are powerful protections that can be used separately. Sin embargo, cuando estas dos tecnologías están configuradas para funcionar juntas, presentan una sólida capacidad de protección para dispositivos Windows 10.However, when these two technologies are configured to work together, they present a strong protection capability for Windows 10 devices.

El uso de la integridad de código configurable para restringir los dispositivos solo a aplicaciones autorizadas tiene estas ventajas sobre otras soluciones:Using configurable code integrity to restrict devices to only authorized apps has these advantages over other solutions:

  1. El kernel de Windows aplica la directiva de integridad de código configurable.Configurable code integrity policy is enforced by the Windows kernel itself. Como tal, la directiva entra en vigor al principio de la secuencia de arranque antes de que se ejecute casi todos los demás códigos del sistema operativo y antes de que se ejecuten las soluciones antivirus tradicionales.As such, the policy takes effect early in the boot sequence before nearly all other OS code and before traditional antivirus solutions run.
  2. La integridad de código configurable permite a los clientes establecer directivas de control de aplicaciones no solo sobre el código que se ejecuta en modo de usuario, sino también los controladores de hardware y software del modo kernel e incluso el código que se ejecuta como parte de Windows.Configurable code integrity allows customers to set application control policy not only over code running in user mode, but also kernel mode hardware and software drivers and even code that runs as part of Windows.
  3. Los clientes pueden proteger la directiva de integridad de código configurable incluso contra alteraciones del administrador local mediante la firma digital de la directiva.Customers can protect the configurable code integrity policy even from local administrator tampering by digitally signing the policy. Esto significaría que cambiar la directiva requeriría privilegios administrativos y acceso al proceso de firma digital de la organización, lo que dificultaría que un atacante con privilegios administrativos o software malintencionado que lograra obtener privilegios administrativos modificara la directiva de control de aplicaciones.This would mean that changing the policy would require both administrative privilege and access to the organization’s digital signing process, making it difficult for an attacker with administrative privilege, or malicious software that managed to gain administrative privilege, to alter the application control policy.
  4. HvCI puede proteger todo el mecanismo de cumplimiento de integridad de código configurable, donde incluso si existe una vulnerabilidad en el código en modo kernel, disminuye la probabilidad de que un atacante pueda aprovecharla correctamente.The entire configurable code integrity enforcement mechanism can be protected by HVCI, where even if a vulnerability exists in kernel mode code, the likelihood that an attacker could successfully exploit it is diminished. ¿Por qué es relevante?Why is this relevant? Esto se debe a que un atacante que pone en peligro el kernel tendría privilegios suficientes para deshabilitar la mayoría de las defensas del sistema e invalidar las directivas de control de aplicaciones aplicadas por la integridad de código configurable o cualquier otra solución de control de aplicaciones.That’s because an attacker that compromises the kernel would otherwise have enough privilege to disable most system defenses and override the application control policies enforced by configurable code integrity or any other application control solution.

Control de aplicaciones de Windows DefenderWindows Defender Application Control

Cuando diseñamos originalmente este estado de configuración, lo hicimos pensando en una promesa de seguridad específica.When we originally designed this configuration state, we did so with a specific security promise in mind. Aunque no había dependencias directas entre la integridad de código configurable y HVCI, centramos intencionalmente nuestra discusión en torno al estado de bloqueo que logras al implementarlas juntas.Although there were no direct dependencies between configurable code integrity and HVCI, we intentionally focused our discussion around the lockdown state you achieve when deploying them together. Sin embargo, dado que HVCI se basa en la seguridad basada en virtualización de Windows, viene con más requisitos de compatibilidad de controladores de hardware, firmware y kernel que algunos sistemas antiguos no pueden cumplir.However, given that HVCI relies on Windows virtualization-based security, it comes with more hardware, firmware, and kernel driver compatibility requirements that some older systems can’t meet. Como resultado, muchos profesionales de IT asumen que, dado que algunos sistemas no podían usar HVCI, tampoco podían usar integridad de código configurable.As a result, many IT Professionals assumed that because some systems couldn't use HVCI, they couldn’t use configurable code integrity either.

La integridad de código configurable no conlleva requisitos específicos de hardware o software que no sea ejecutar Windows 10, lo que significa que a muchos profesionales de IT se les denegaron erróneamente las ventajas de esta eficaz funcionalidad de control de aplicaciones.Configurable code integrity carries no specific hardware or software requirements other than running Windows 10, which means many IT professionals were wrongly denied the benefits of this powerful application control capability.

Desde el lanzamiento inicial de Windows 10, el mundo ha experimentado numerosos ataques de piratería y malware en los que el control de aplicaciones por sí solo podría haber evitado el ataque por completo.Since the initial release of Windows 10, the world has witnessed numerous hacking and malware attacks where application control alone could have prevented the attack altogether. Con esto en mente, estamos analizando y documentando la integridad de código configurable como una tecnología independiente dentro de nuestra pila de seguridad y darle un nombre propio: Windows Defender Control de aplicaciones.With this in mind, we are discussing and documenting configurable code integrity as an independent technology within our security stack and giving it a name of its own: Windows Defender Application Control. Esperamos que este cambio nos ayude a mejorar las opciones de comunicación para adoptar el control de aplicaciones en una organización.We hope this change will help us better communicate options for adopting application control within an organization.

Artículos relacionadosRelated articles

Control de aplicaciones de Windows DefenderWindows Defender Application Control

Colocar el martillo en las amenazas de malware con las amenazas de Windows 10 Windows DefenderDropping the Hammer Down on Malware Threats with Windows 10’s Windows Defender

Compatibilidad de controladores Windows Defender en Windows 10Driver compatibility with Windows Defender in Windows 10

Integridad de códigoCode integrity