Control de aplicaciones de Windows Defender y protección basada en la virtualización de la integridad del código

Se aplica a

  • Windows10
  • Windows Server 2016

Windows 10 incluye un conjunto de tecnologías de hardware y sistema operativo que, cuando se configuran juntas, permiten a las empresas "bloquear" Windows 10 sistemas para que se comporten más como dispositivos móviles. En esta configuración, Windows Defender Control de aplicaciones (WDAC) se usa para restringir que los dispositivos ejecuten solo aplicaciones aprobadas, mientras que el sistema operativo se protege frente a ataques de memoria del kernel mediante la integridad de código protegido por hipervisor (HVCI).

Las directivas WDAC y HVCI son protecciones eficaces que se pueden usar por separado. Sin embargo, cuando estas dos tecnologías están configuradas para funcionar juntas, presentan una fuerte capacidad de protección para Windows 10 dispositivos.

El uso de Windows Defender Application Control para restringir los dispositivos solo a las aplicaciones autorizadas tiene estas ventajas sobre otras soluciones:

  1. La directiva WDAC la aplica el propio kernel de Windows y la directiva surte efecto al principio de la secuencia de arranque antes de casi todo el resto del código del sistema operativo y antes de que se ejecuten las soluciones antivirus tradicionales.
  2. WDAC permite establecer la directiva de control de aplicaciones para el código que se ejecuta en modo de usuario, controladores de hardware y software en modo kernel e incluso código que se ejecuta como parte de Windows.
  3. Los clientes pueden proteger la directiva WDAC incluso contra la manipulación del administrador local mediante la firma digital de la directiva. Para cambiar la directiva firmada se requiere privilegios administrativos y acceso al proceso de firma digital de la organización. Esto dificulta que un atacante, incluido el que ha logrado obtener privilegios administrativos, altere la directiva WDAC.
  4. Puede proteger todo el mecanismo de cumplimiento wdac con HVCI. Incluso si existe una vulnerabilidad en el código del modo kernel, HVCI reduce en gran medida la probabilidad de que un atacante pueda aprovecharla correctamente. Esto es importante porque un atacante que pone en peligro el kernel podría deshabilitar normalmente la mayoría de las defensas del sistema, incluidas las aplicadas por WDAC o cualquier otra solución de control de aplicaciones.

Por qué ya no usamos la marca Device Guard

Cuando originalmente promocionamos Device Guard, lo hicimos teniendo en cuenta una promesa de seguridad específica. Aunque no había dependencias directas entre WDAC y HVCI, hemos centrado intencionadamente nuestra discusión en torno al estado de bloqueo logrado al usarlos juntos. Sin embargo, dado que HVCI se basa en Windows seguridad basada en virtualización, tiene requisitos de compatibilidad de hardware, firmware y controladores de kernel que algunos sistemas anteriores no pueden cumplir. Esto confundió a muchas personas para suponer que, si los sistemas no podían usar HVCI, tampoco podían usar WDAC.

WDAC no tiene requisitos específicos de hardware o software que no sean ejecutar Windows 10, lo que significa que a los clientes se les deniega las ventajas de esta potente funcionalidad de control de aplicaciones debido a la confusión de Device Guard.

Desde el lanzamiento inicial de Windows 10, el mundo ha sido testigo de numerosos ataques de piratería y malware donde el control de aplicaciones por sí solo podría haber impedido el ataque por completo. Teniendo esto en cuenta, ahora analizamos y documentamos Windows Defender Control de aplicaciones como una tecnología independiente dentro de nuestra pila de seguridad y le asignamos un nombre propio: Windows Defender Control de aplicaciones. Esperamos que este cambio nos ayude a comunicar mejor las opciones para adoptar el control de aplicaciones dentro de las organizaciones.

Artículos relacionados