Hemos obtenido este artículo de Susan Bradley CSO Online con el título “Novedades en las características de seguridad de Windows 10: la edición anti-ransomware”. Esto proporciona una cuenta maravillosa sobre lo que todo el usuario necesita saber sobre la actualización de seguridad de Windows 10. Esta actualización según el autor es para 1703 Fall Creator Edition.

Con la nueva era de Windows como servicio, Microsoft está implementando cambios en el sistema operativo dos veces al año. Muchos de esos cambios le permitirán mejorar su postura de seguridad y ofrecer más opciones de seguridad. Ya no tendrá que esperar a que un nuevo sistema operativo despliegue nuevas funciones de seguridad.

A continuación se incluye un resumen de todas las nuevas características y opciones de seguridad en Windows 10 versión 1709, también conocida como Edición de creadores de otoño. Marque este artículo porque agregaremos nuevas funciones de seguridad a medida que Microsoft publique futuras actualizaciones de Windows.

Windows 10 1709: la edición anti-ransomware.

El lanzamiento de Windows 10 Fall Creators Edition es, en mi opinión, el primer lanzamiento en el que Microsoft está aumentando enormemente y reconoce el impacto del ransomware. Las características clave de seguridad incluidas en la versión 1709 ofrecen a los profesionales de TI la capacidad de proporcionar medios adicionales para prevenir y defenderse del ransomware. Estas son las características principales de la edición:

Window Defender Exploit Guard

Window Defender Exploit Guard es el nombre de cuatro conjuntos de características diferentes que ayudan a bloquear y defenderse de los ataques. Las cuatro características de Exploit Guard incluyen protección de exploits, herramientas de reducción de superficie de ataque, protección de red y acceso controlado a carpetas. Exploit Protection es la única característica que funciona si utiliza una herramienta antivirus de terceros. Las otras tres funciones requieren Windows Defender y no funcionarán si usa un software antivirus de terceros. Es poco probable que este prerrequisito cambie debido a la dependencia de Windows Defender para proporcionar la API y la infraestructura necesarias para admitir las características.

Protección contra explotaciones

Esta es la única de las cuatro tecnologías de Exploit Guard que no requiere que Windows Defender sea su antivirus principal. Exploit Protection se puede controlar a través de políticas de grupo o PowerShell. Un servicio adicional de registro basado en la nube llamado Windows Defender Advanced Threat Protection proporciona evidencia de seguimiento forense de las amenazas y los ataques se pueden utilizar para rastrear e investigar mejor los eventos de Exploit Guard. No es obligatorio habilitar esta tecnología.

Para habilitar Exploit Protection, comience implementando la tecnología en máquinas de prueba antes de implementar ampliamente. Abra Configuración, vaya a Actualización y seguridad, abra la aplicación Windows Defender y luego abra el Centro de seguridad de Windows Defender. A continuación, vaya a la aplicación y al control del navegador y desplácese hacia abajo a Exploit Protection. Abra la configuración de protección de exploits.

De forma predeterminada, Windows 10 tiene la siguiente configuración:

Control Flow Guard (CFG) (activado de forma predeterminada) es una mitigación que evita que el flujo de control de redireccionamiento a un inesperado.

La Prevención de ejecución de datos (DEP) (activada de manera predeterminada) es una característica de seguridad que se introdujo en Vista y plataformas posteriores. La característica ayuda a prevenir daños a su computadora de virus y otras amenazas a la seguridad. DEP protege su computadora al monitorear programas para asegurarse de que usen la memoria del sistema de manera segura. Cuando DEP detecte malware, podría desencadenar una pantalla azul de muerte para proteger el sistema operativo.

Forzar aleatorización para imágenes (ASLR obligatorio) (desactivado por defecto) es una técnica para evadir a los atacantes aleatorizando dónde estará la posición de los procesos en la memoria.

La asignación al azar del diseño de espacio de direcciones (ASLR) coloca los destinos del espacio de direcciones en ubicaciones impredecibles. Si un atacante intenta lanzar un exploit, la aplicación de destino se bloqueará (pantalla azul), deteniendo el ataque.

Aleatorizar asignaciones de memoria (ASLR ascendente) (activada de manera predeterminada) permite asignar aleatoriamente las asignaciones ascendentes (VirtualAlloc() VirtualAllocEx()).

Los ataques que utilizan ASLR omitido y DEP en Adobe Reader se previenen con esta configuración. Validar cadenas de excepciones (SEHOP) (activado por defecto) impide que un atacante use la técnica de explotación de sobreescritura del Manejador de excepciones estructuradas (SEH).

Desde que se publicó por primera vez en septiembre de 2003, este ataque a menudo ha estado en el arsenal de muchos hackers.

Validar Heap Integrity (activado de manera predeterminada) protege contra los ataques de corrupción de memoria. Puede establecer tanto la configuración del sistema como la configuración del programa y luego exportarlos en un archivo XML para luego implementarlos en otras computadoras a través de PowerShell.

Reducción de superficie de ataque

Attack Surface Reduction es un nuevo conjunto de herramientas que bloquea principalmente Office, Java y otros ataques tipo día cero. Con la adición de una licencia de Windows E5 y Windows Advanced Threat Protection, recibirá un sistema de alerta basado en la nube cuando se activen estas reglas. Sin embargo, no es obligatorio tener la licencia E5 para administrar y defender sistemas. Esta es una de las tres características de Windows Defender Exploit Guard que no funcionarán con antivirus de terceros implementados. Debe usar Windows Defender para habilitar esta protección.

Para habilitar estas protecciones, puede usar políticas de grupo, claves de registro o administración de dispositivos móviles. Para habilitar a través de la política de grupo, vaya a Configuración del equipo en el Editor de administración de directivas de grupo, luego Políticas, luego Plantillas administrativas. Expanda el árbol a los componentes de Windows> Windows Defender Antivirus> Windows Defender Exploit Guard> Ataque a la reducción de superficie. Haga doble clic en la configuración Configurar reglas de reducción de superficie de ataque y establezca la opción en Activado. Para habilitar la Reducción de superficie de ataque con PowerShell, ingrese Set-MpPreference -AttackSurfaceReductionRules_Ids -AttackSurfaceReductionRules_Actions Enabled.

Ahora necesita determinar qué planea bloquear. Se recomienda comenzar en modo auditoría para evaluar el impacto en su red y dispositivos.

Los valores que puede establecer para habilitar la Reducción de superficie de ataque son:

Modo de bloque = 1

Desactivado = 0

Modo de auditoría = 2

Una vez que haya determinado que la protección no afectará la productividad, puede establecer el valor en Modo de bloque para habilitar completamente las protecciones. Ingrese cada regla en una nueva línea como un par nombre-valor con un código GUID y luego el valor de 1 para imponer el bloqueo, 0 para deshabilitar la regla, o 2 para establecer la regla para auditar. Al comenzar a evaluar las reglas, establezca el valor en 2 y monitoree los resultados en el registro de eventos.

Columna de nombre: ingrese una ID de regla o GUID de ASR válida.

Columna de valor: ingrese la ID de estado relacionada con el estado que desea especificar para la regla asociada.

Las siguientes reglas se pueden habilitar para proteger mejor su computadora y su red.

Regla: bloquea el contenido ejecutable desde el cliente de correo electrónico y webmail. ID de regla de ASR o GUID: BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 Bloquea archivos ejecutables (como .exe, .dll o .scr) Bloquea los archivos de script (como PowerShell .ps, VisualBasic .vbs o JavaScript .js archivo) Bloquear archivos de archivos de script

Regla: las aplicaciones Block Office no crean procesos secundarios. ID de regla de ASR o GUID: D4F940AB-401B-4EFC-AADC-AD5F3C50688A.

Esta regla impide que las aplicaciones de Microsoft Office creen contenido secundario. Este es el comportamiento típico de malware, especialmente con ataques basados ​​en macro.

Regla: las aplicaciones Block Office no crean contenido ejecutable. ID de regla de ASR o GUID: 3B576869-A4EC-4529-8536-B80A7769E899. Esta regla impide que las aplicaciones de Office creen contenido ejecutable. Este es un comportamiento típico de malware. Los ataques a menudo usan Windows Scripting Host (archivos .wsh) para ejecutar scripts.

Regla: bloquear aplicaciones de Office desde la inyección de código en otros procesos. ID de regla de ASR o GUID: 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84.

Las aplicaciones de Office como Word, Excel y PowerPoint no podrán insertar código en otros procesos. El malware generalmente usa esto para evitar la detección de virus.

Regla: Bloquee JavaScript o VBScript para iniciar el contenido ejecutable descargado. ID de regla de ASR o GUID: D3E037E1-3EB8-44C8-A917-57927947596D Esta regla bloquea el uso de JavaScript y VBScript para iniciar aplicaciones, evitando así el uso malintencionado de scripts para iniciar malware.

Regla: ejecución de bloques de scripts potencialmente ofuscados. ID de regla o GUID de ASR: 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC Esta regla evita que se ejecuten los scripts que parecen ofuscados. Utiliza la Interfaz de exploración AntiMalware (AMSI) para determinar si una secuencia de comandos es maliciosa.

Regla: Bloquear llamadas a la API de Win32 desde la macro de Office. ASR ID Regla o GUID: 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B malware a menudo utiliza los archivos de Office macro código para importar y cargar DLL de Win32, que a continuación, utilizar llamadas a la API para infectar aún más el sistema.

Protección de red

La protección de red está diseñada para proteger su computadora y su red de dominios que pueden albergar estafas de phishing, exploits y otros contenidos maliciosos en Internet. Se puede habilitar a través de PowerShell o Política de grupo. En el Editor de administración de políticas de grupo, vaya a Configuración del equipo, luego Políticas, luego Plantillas administrativas. Expanda el árbol a los componentes de Windows> Windows Defender Antivirus> Windows Defender Exploit Guard> Protección de red. Haga doble clic en la opción Evitar que usuarios y aplicaciones accedan a sitios web peligrosos y establezca la opción en Activado.

Para habilitar el uso de PowerShell, ingrese Set-MpPreference -EnableNetworkProtection Enabled. Para habilitar el modo de auditoría, escriba Set-MpPreference -EnableNetworkProtection AuditMode. Para habilitar completamente la protección, debe reiniciar la computadora.

Una vez habilitado, puede probar la característica yendo a este sitio web. El sitio debe estar bloqueado y debería ver una notificación que indique el estado de amenaza del sitio en la bandeja del sistema. El sistema ahora se basa en la tecnología Microsoft SmartScreen para bloquear sitios web. Si se encuentra un falso positivo, debe enviar una solicitud para incluir en la lista blanca un sitio web usando la página de envío de Microsoft.

Esta es una de las tres características de Windows Defender Exploit Guard que no funcionarán con antivirus de terceros implementados. Debe usar Windows Defender para habilitar esta protección.

Acceso a carpetas controladas

La protección controlada de acceso a carpetas está diseñada para prevenir y defenderse de los ataques típicos de ransomware. Se puede habilitar mediante la aplicación Windows Defender Security Center a través de Group Policy, PowerShell o los proveedores de servicios de configuración para la administración de dispositivos móviles. Todas las aplicaciones que acceden a cualquier archivo ejecutable (incluidos los archivos .exe, .scr y .dll) utilizan la interfaz de Windows Defender Antivirus para determinar si la aplicación es segura. Si la aplicación es maliciosa, no podrá realizar cambios en los archivos de las carpetas protegidas.

Ciertas carpetas están protegidas de manera predeterminada y luego el administrador puede agregar carpetas que consideren que necesitan protección adicional. Para habilitar el acceso controlado a la carpeta mediante el tipo de PowerShell, ingrese el siguiente comando: Set-MpPreference -EnableControlledFolderAccess Enabled. Para habilitar el acceso a carpetas controladas a través de políticas de grupo, Editor de administración de políticas grupales, vaya a Configuración del equipo, haga clic en Políticas, luego en Plantillas administrativas y luego expanda el árbol a componentes de Windows> Antivirus de Windows Defender> Exploit Exploit Guard de Windows> Acceso a carpetas controladas. Haga doble clic en la configuración de Configurar acceso a carpetas controladas y establezca la opción en Activado.

De forma predeterminada, las siguientes carpetas están habilitadas para protección:

C: \ Users \ \ Documents

C: \ Users \ Public \ Documents

C: \ Users \ \ Pictures C: \ Users \ Public \ Pictures

C: \ Users \ Videos

C: \ Users \ Público \ Videos

C: \ Usuarios \ \ Música

C: \ Usuarios \ Público \ Música

C: \ Usuarios \ \ Escritorio

C: \ Usuarios \ Público \ Escritorio

C: \ Usuarios \ \ Favoritos

A continuación, puede agregar manualmente carpetas como mejor le parezca. Si tiene una aplicación bloqueada por Controlled Folder Access, puede permitir una aplicación. Para permitir una anulación, vaya al Editor de administración de directivas de grupo y luego vaya a Configuración del equipo. Haga clic en Políticas y luego en Plantillas administrativas. Expanda el árbol a los componentes de Windows> Windows Defender Antivirus> Windows Defender Exploit Guard> Controlled Folder Access. Haga doble clic en la configuración Configurar aplicaciones permitidas y establezca la opción en Activado. Haga clic en Mostrar e ingrese cada aplicación. Para permitir una aplicación a través de PowerShell, ingrese Add-MpPreference -ControlledFolderAccessAllowedApplications “”.

Esta es la última de las tres características de Windows Defender Exploit Guard que no funcionarán con antivirus de terceros implementados. Debe usar Windows Defender para habilitar esta protección.

Líneas de base de seguridad de Windows

Las configuraciones de línea de base de seguridad de Windows se han actualizado para admitir Windows 10 1709. Las líneas de base de seguridad son un conjunto de configuraciones recomendadas para lps mejores sistemas seguros en las empresas. Las organizaciones pueden usar Security Compliance Toolkit para revisar las configuraciones de política de grupo recomendadas. Microsoft certifica que prueban actualizaciones contra estas configuraciones.

Windows Defender Advanced Threat Protection (ATP)

Windows Defender ATP es una consola basada en la nube que permite el seguimiento forense de amenazas y ataques. Se habilita una vez que compra una suscripción a Windows E5 o Microsoft Office 365 E5. Una vez que compre la suscripción, puede inscribir estaciones de trabajo a través de políticas de grupo o claves de registro, que luego suben la telemetría a un servicio en la nube. El servicio monitorea ataques laterales, ransomware y otros ataques típicos. La versión 1709 aumenta la integración de análisis y pila de seguridad para mejores informes e integración.

Application Guard garantiza que las empresas puedan controlar el nuevo navegador Edge de Microsoft para bloquear y defender mejor las estaciones de trabajo de los ataques. Application Guard se debe desplegar en máquinas de 64 bits, y las máquinas deben tener Extended Page Tables, también llamado Second Level Address Translation (SLAT), así como extensiones Intel VT-x o AMD-V. La versión Enterprise de Windows 10 también es obligatoria.

El protector de aplicaciones se puede controlar mediante una política de grupo, Intune o System Center. Application Guard se puede implementar a través de características o PowerShell usando Enable-WindowsOptionalFeature -online -FeatureName Windows-Defender-ApplicationGuard. Una vez habilitado, puede limitar los sitios web para bloquear contenido externo en Internet Explorer y Edge, limitar la impresión, el uso del portapapeles y aislar el navegador para que solo use los recursos de la red local.

Windows Defender Device Guard

Device Guard es un nuevo nombre para las políticas de restricción de software. A menos que una aplicación sea confiable, no se puede ejecutar en el sistema. En lugar del modelo actual de software que usamos ahora, donde confiamos en el software por defecto, Device Guard supone que todo el software es sospechoso y solo permite que el software en el que confía se ejecute en su sistema. Al igual que el protector de aplicaciones, los requisitos incluyen tecnología de virtualización.

Protección de información de Windows (WIP)

WIP ahora funciona con Office y Azure Information Protection. WIP solía llamarse Protección de datos empresariales. Establecer una política de WIP asegura que los archivos descargados desde una ubicación de Azure serán encriptados. Puede configurar una lista de aplicaciones que tienen permiso para acceder a estos datos protegidos.

BitLocker

La longitud mínima de PIN para BitLocker se modificó en la versión 1709 de seis a cuatro, con seis como valor predeterminado.

Windows Hello

El sistema de autenticación facial de Microsoft se ha mejorado en la versión 1709 para usar la configuración de proximidad para permitir la autenticación multifactor en implementaciones más confidenciales.

Actualización de Windows para empresas

La configuración de directiva de grupo que le permite controlar mejor las actualizaciones en Windows 10 ahora incluye la capacidad de controlar el uso de Insider Edition en los sistemas de su red. Esto le permite inscribirse en sistemas comerciales en el proceso de prueba beta de Microsoft. Las organizaciones pueden optar por participar en este programa para evaluar mejor y prepararse para la publicación de características.

Funciones de seguridad anteriores a la versión 1709

Los cambios de seguridad y las mejoras introducidas en ediciones anteriores incluyen lo siguiente:

Protección avanzada contra amenazas de Windows Defender

Windows 10 1703 introdujo la capacidad de utilizar la API de inteligencia de amenazas para crear alertas personalizadas. Se hicieron mejoras en la memoria del sistema operativo y en los sensores del kernel para detectar mejor los ataques en las profundidades del sistema operativo. También permitió seis meses de detección histórica para una mejor revisión de los patrones. Los eventos de Detección de antivirus y Guardia de dispositivo se colocaron en el portal de Protección de amenazas. Windows 10 1607 introdujo originalmente la herramienta forense en la nube en línea para la plataforma Windows 10 por primera vez.

Windows Defender Antivirus

Este fue renombrado desde Windows Defender en la versión 1703 y se integró a la aplicación del Centro de seguridad de Windows Defender. Además, se mejoró la supervisión del comportamiento actualizado y la protección en tiempo real. En Windows 10 1607, se introdujeron los cmdlets de PowerShell para configurar las opciones y ejecutar escaneos.

Windows Defender Credential Guard

Los nombres de usuario y las contraseñas son robados de forma regular para obtener acceso a los sistemas. Un atacante obtiene acceso a un sistema comprometido y luego usar ataques como “Pasar el hash” o “Pasar el ticket” puede cosechar las credenciales guardadas en los sistemas para realizar ataques de movimiento lateral a través de una red. El protector de credenciales protege los hash de contraseñas NTLM, los tickets de concesión de tickets de Kerberos y las credenciales almacenadas por las aplicaciones como credenciales de dominio de los atacantes. Sin embargo, tenga en cuenta que las aplicaciones de inicio de sesión único pueden no funcionar si se habilita la protección de credenciales.

Windows 10 1703 aumentó el requisito de hardware para implementar Device Guard y Credential Guard para proteger mejor de las vulnerabilidades en los escenarios de tiempo de ejecución UEFI:

Soporte para seguridad basada en virtualización (requerida) Arranque seguro (requerido) TPM 2.0 discreto o firmware (preferido: proporciona enlace al hardware) Bloqueo UEFI (preferido: evita que el atacante se deshabilite con un simple cambio de clave de registro)

Si desea habilitar la protección de credenciales en máquinas virtuales donde el riesgo de movimiento lateral puede ser mayor, los requisitos de hardware adicionales incluyen:

• CPU de 64 bits
• Extensiones de virtualización de CPU más tablas de páginas extendidas
• Hipervisor de Windows

Windows 10 1511 introdujo la capacidad de habilitar Credential Guard utilizando el registro para permitirle desactivar Credential Guard de forma remota.

Seguridad de la política de grupo

Windows 10 1703 introdujo una nueva política de seguridad específicamente para hacer que el nombre de usuario sea más privado durante el inicio de sesión. Inicio de sesión interactivo: no mostrar nombre de usuario al iniciar sesión permite un control más detallado sobre el proceso de inicio de sesión.

Windows Hello para hacer negocios

Windows 10 1703 introdujo la capacidad de restablecer un PIN olvidado sin perder datos de perfil. Windows 10 1607 combinó las tecnologías de Microsoft Passport y Windows Hello.

Red privada virtual (VPN)

Windows 10 1607 permitió que el cliente VPN se integrara con el Marco de acceso condicional y puede integrarse con la política de protección de información de Windows para mayor seguridad.

Applocker

Windows 10 1507 introdujo un nuevo parámetro que le permite elegir si las reglas ejecutables y DLL se aplicarán a los procesos no interactivos.

Auditoría de Windows 10

Windows 10 Versión 1507 agregó más eventos de auditoría y campos incrementados para seguir mejor los procesos y eventos.

BitLocker

BitLocker recibió nuevas características en Windows 10 1511 que incluyen mejoras en el algoritmo de cifrado XTS-AES para protegerse mejor de los ataques al cifrado que utilizan la manipulación de textos de cifrado. Windows 10 1507 introdujo la capacidad de encriptar y recuperar un dispositivo con Azure Active Directory.