Proteger dispositivos de vulnerabilidades

Se aplica a:

La protección contra ataques aplica automáticamente una serie de técnicas de mitigación de vulnerabilidad a los procesos y las aplicaciones del sistema operativo.

Forma parte de Protección contra vulnerabilidades de seguridad de Windows Defender. La protección contra vulnerabilidades es compatible a partir de Windows 10, versión 1709 y Windows Server 2016, versión 1803.

Sugerencia

Puede visitar el sitio web de Windows Defender Testground en Demo.WD.Microsoft.com para confirmar que la característica funciona y ver cómo funciona.

La protección contra vulnerabilidades funciona mejor con protección contra amenazas avanzada de Microsoft defender , que le ofrece informes detallados de eventos y bloques de protección contra ataques como parte de los escenarios de investigación de alertashabituales.

Puede Habilitar la protección contra vulnerabilidades en un equipo individual y, a continuación, usar la Directiva de grupo para distribuir el archivo XML a varios dispositivos a la vez.

Cuando se encuentra una mitigación en la máquina, se mostrará una notificación del centro de actividades. Puedes personalizar la notificación con los detalles y la información de contacto de tu empresa. También puedes habilitar las reglas de forma individual y así personalizar las técnicas que monitoriza la función.

También puede usar el modo de auditoría para evaluar cómo afectaría a su organización la protección contra ataques si estaba habilitada.

Muchas de las funciones del Kit de herramientas de experiencia de mitigación mejorada (EMET) se han incluido en Protección contra vulnerabilidades, y puedes convertir e importar perfiles de configuración EMET existentes a Protección contra vulnerabilidades. Vea comparación entre el kit de herramientas de mejora de la mejora de la experiencia y la protección contra vulnerabilidades de Windows Defender para obtener más información sobre cómo la protección contra ataques reemplaza a Emet y cuáles son los beneficios al considerar migrar a aprovechar la protección en Windows 10.

Importante

Si está usando EMET, debe tener en cuenta que Emet llegó al final del ciclo de vida el 31 de julio de 2018. Debes considerar la posibilidad de sustituir EMET por la protección contra vulnerabilidades en Windows 10. Puede convertir un archivo de configuración de Emet existente en la protección de vulnerabilidad para facilitar la migración y conservar la configuración existente.

Advertencia

Algunas tecnologías de mitigación de seguridad pueden tener problemas de compatibilidad con algunas aplicaciones. Debe probar la protección contra vulnerabilidades en todos los escenarios de uso de destino con el modo auditoría antes de implementar la configuración en un entorno de producción o el resto de la red.

Revisar los eventos de protección contra ataques en el centro de seguridad de Microsoft

ATP de Microsoft proporciona informes detallados en eventos y bloques como parte de los escenarios de investigación de alertas.

Puede consultar los datos de ATP de Microsoft defender mediante la búsqueda avanzada. Si está usando el modo auditoría, puede usar la búsqueda avanzada para ver cómo la configuración de la protección contra vulnerabilidades puede afectar al entorno.

Esta es una consulta de ejemplo:

MiscEvents
| where ActionType startswith 'ExploitGuard' and ActionType !contains 'NetworkProtection'

Revisar los eventos de protección contra ataques en el visor de eventos de Windows

Puede revisar el registro de eventos de Windows para ver los eventos que se crean cuando la protección de vulnerabilidad bloquea (o audita) una aplicación:

Proveedor/origen Id. de evento Description
Mitigaciones de seguridad uno Auditoría de ACG
Mitigaciones de seguridad 1 Obligación de ACG
Mitigaciones de seguridad 2 No permitir auditoría de procesos secundarios
Mitigaciones de seguridad cuatro No permitir bloqueo de procesos secundarios
Mitigaciones de seguridad 4 Bloquear auditoría de imágenes de baja integridad
Mitigaciones de seguridad 6 Impedir bloqueo de auditoría de imágenes de baja integridad
Mitigaciones de seguridad siete Bloquear auditoría de imágenes remotas
Mitigaciones de seguridad 4,8 Impedir bloqueo de imágenes remotas
Mitigaciones de seguridad 99,999 Deshabilitar auditoría de llamadas del sistema win32k
Mitigaciones de seguridad base10 Deshabilitar bloqueo de llamadas del sistema win32k
Mitigaciones de seguridad once Auditoría de protección de integridad de código
Mitigaciones de seguridad 2007 Bloqueo de protección de integridad de código
Mitigaciones de seguridad 13 Auditoría de EAF
Mitigaciones de seguridad Obligación de EAF
Mitigaciones de seguridad 4,5 EAF + auditoría
Mitigaciones de seguridad apartado EAF + obligación
Mitigaciones de seguridad apartado Auditoría de IAF
Mitigaciones de seguridad 18 Obligación de IAF
Mitigaciones de seguridad 19 Auditoría ROP StackPivot
Mitigaciones de seguridad veinte Obligación de ROP StackPivot
Mitigaciones de seguridad 21Vianet Auditoría ROP CallerCheck
Mitigaciones de seguridad 23 Obligación de ROP CallerCheck
Mitigaciones de seguridad ,23 Auditoría ROP SimExec
Mitigaciones de seguridad veinticuatro Obligación de ROP SimExec
Diagnóstico WER 4 Bloqueo de CFG
Win32K 260 Fuente no de confianza

Comparación entre el Kit de herramientas de experiencia de mitigación mejorada experiencia y Protección contra vulnerabilidades de seguridad de Windows Defender.

Importante

Si actualmente usa EMET, debe tener en cuenta que Emet llegó al final del ciclo de vida el 31 de julio de 2018. Debe considerar la posibilidad de sustituir EMET por la protección aprovechada en Microsoft defender ATP.

Puede convertir un archivo de configuración de Emet existente en la protección de vulnerabilidad para facilitar la migración y conservar la configuración existente.

En esta sección se compara la protección aprovechada en Microsoft defender ATP con la mejora del kit de herramientas de mitigación de la experiencia (EMET) como referencia. En la tabla de esta sección se muestran las diferencias entre EMET y Protección contra vulnerabilidades de seguridad de Windows Defender.

  Protección contra vulnerabilidades de seguridad de WindowsDefender EMET
Versiones de Windows Check mark yes
Todas las versiones de Windows 10a partir de la versión 1709
Check mark yes
Windows 8.1; Windows 8; Windows 7
No se puede instalar en Windows 10, versión 1709 y posteriores
Requisitos de instalación Seguridad de Windows en Windows 10
(no es necesario realizar ninguna instalación adicional)
La Protección contra vulnerabilidades de seguridad de Windows Defender está integrada en Windows: no requiere un paquete o herramienta independiente para la administración, configuración o implementación.
Disponible solo como descarga adicional y debe instalarse en un dispositivo de administración
Interfaz de usuario Interfaz moderna integrada con la aplicación de seguridad de Windows Interfaz anterior y compleja que requiere una considerable formación de preparación
Compatibilidad Check mark yes
Canal dedicado de soporte técnico basado en envíos[1]
Parte del ciclo de vida de soporte técnico de Windows 10
Check mark no
Finaliza a partir del 31 de julio de 2018
Actualizaciones Check mark yes
Actualizaciones y desarrollo continuos de nuevas características, publicadas dos veces al año como parte del Canal de actualizaciones semianual de Windows 10
Check mark no
No hay ninguna actualización ni desarrollo previstos
Protección contra vulnerabilidades Check mark yes
Todas las mitigaciones de EMET, además de mitigaciones nuevas y especificas (consulta la tabla)
Puede convertir e importar configuraciones de EMET existentes
Check mark yes
Conjunto limitado de mitigaciones
Reducción de la superficie expuesta a ataques[2] Check mark yes
Ayuda a bloquear vectores de infección conocidos
Puede configurar reglas individuales
Check mark yes
Configuración de conjunto de reglas limitado solo para módulos (no procesos)
Protección de red[2] Check mark yes
Ayuda a bloquear conexiones de red malintencionadas
Check mark no
No disponible
Acceso controlado a carpetas[2] Check mark yes
Ayuda a proteger las carpetas importantes
Puede configurarse para aplicaciones y carpetas
Check mark no
No disponible
Configuración con GUI (interfaz de usuario) Check mark yes
Usar la aplicación de seguridad de Windows para personalizar y administrar las configuraciones
Check mark yes
Requiere la instalación y el uso de la herramienta EMET
Configuración con la directiva de grupo Check mark yes
Usar la directiva de grupo para implementar y administrar configuraciones
Check mark yes
Disponible
Configuración con herramientas de shell Check mark yes
Usar PowerShell para personalizar y administrar configuraciones
Check mark yes
Requiere el uso de la herramienta EMET (EMET_CONF)
System Center Configuration Manager Check mark yes
Usar Configuration Manager para personalizar, implementar y administrar configuraciones
Check mark no
No disponible
Microsoft Intune Check mark yes
Usar Intune para personalizar, implementar y administrar configuraciones
Check mark no
No disponible
Generación de informes Check mark yes
Con Registros de eventos de Windows y Generación de informes en modo auditoría completa
Integración completa con protección contra amenazas avanzada de Microsoft defender
Check mark yes
Supervisión limitada de registros de eventos de Windows
Modo auditoría Check mark yes
Modo auditoría completa con generación de informes de eventos de Windows
Check mark no
Limitado a mitigaciones EAF, EAF+ y anti ROP

(1) Requiere una suscripción empresarial con Azure Active Directory o un ID de Software Assurance.

(2) Pueden aplicarse requisitos adicionales (tales como el uso de Antivirus de Windows Defender). Consulta los Requisitos de la Protección contra vulnerabilidades de seguridad de Windows Defender para obtener más información. Las opciones de mitigación personalizables que están configuradas con protección contra vulnerabilidades no requieren antivirus de Windows Defender.

Comparación de mitigaciones

Los factores atenuantes disponibles en EMET se incluyen en la protección contra vulnerabilidades de Windows Defender, en la característica de protección contra vulnerabilidades.

La tabla de esta sección indica la disponibilidad y el soporte técnico de mitigaciones nativas entre EMET y la protección contra ataques.

Mitigación Disponible en la Protección contra vulnerabilidades de seguridad de Windows Defender Disponible en EMET
Protección de código arbitrario (ACG) Check mark yes Check mark yes
Como "Comprobación de protección de memoria"
Bloquear imágenes remotas Check mark yes Check mark yes
Como "Comprobación de carga biblioteca"
Bloquear fuentes no de confianza Check mark yes Check mark yes
Prevención de ejecución de datos (DEP) Check mark yes Check mark yes
Exportar filtrado de direcciones (EAF) Check mark yes Check mark yes
Forzar la aleatorización de imágenes (ASLR obligatorio) Check mark yes Check mark yes
Mitigación de seguridad de NullPage Check mark yes
Incluido de forma nativa en Windows10
Consulta Mitigar las amenazas mediante el uso de las características de seguridad de Windows 10 para obtener más información
Check mark yes
Aleatorizar las asignaciones de memoria (ASLR de abajo a arriba) Check mark yes Check mark yes
Simular ejecución (SimExec) Check mark yes Check mark yes
Validar invocación de API (CallerCheck) Check mark yes Check mark yes
Validar cadenas de excepciones (SEHOP) Check mark yes Check mark yes
Validar integridad de pila (StackPivot) Check mark yes Check mark yes
Certificado de confianza (asignación de certificado configurable) Windows 10 proporciona la asignación de certificado empresarial Check mark yes
Asignación de rociamiento de montón Ineficaz frente a ataques basados en navegador más recientes; las mitigaciones más recientes ofrecen una mejor protección
Consulta Mitigar las amenazas mediante el uso de las características de seguridad de Windows 10 para obtener más información
Check mark yes
Bloquear imágenes de baja integridad Check mark yes Check mark no
Protección de integridad de código Check mark yes Check mark no
Deshabilitar puntos de extensión Check mark yes Check mark no
Deshabilitar las llamadas del sistema Win32k Check mark yes Check mark no
No permitir procesos secundarios Check mark yes Check mark no
Importar filtrado de direcciones (IAF) Check mark yes Check mark no
Validar uso de controladores Check mark yes Check mark no
Validar integridad de montón Check mark yes Check mark no
Validar integridad de dependencia de imágenes Check mark yes Check mark no

Nota

Las mitigaciones avanzadas ROP que están disponibles en EMET se han sustituido por ACG en Windows 10, pero otras opciones de configuración avanzadas de EMET están habilitadas de forma predeterminada en la Protección contra vulnerabilidades de seguridad de Windows Defender como parte de la habilitación de las mitigaciones anti ROP para un proceso.

Consulta Amenazas de mitigación mediante el uso de las características de seguridad de Windows 10 para obtener más información sobre cómo Windows 10 usa la tecnología EMET existente.

Temas relacionados