¿Qué es el control de aplicaciones de Windows Defender?

Si no está familiarizado con Windows Defender Application Control (WDAC), permítame informarle. No se debe confundir con Windows Defender Application Guard, una solución de contenedorización para Microsoft Edge que usa Hyper-V para aislar las sesiones del navegador, WDAC es una parte de Windows Device Guard. Solo para aumentar la confusión, Microsoft usa Windows Device Guard para referirse al uso de WDAC y la integridad del código protegido por hipervisor (HVCI) juntos.

Para obtener más información sobre Windows Defender Application Guard, consulte Revisando Application Guard en la actualización de 10 de abril de Windows 2018 en Petri.

Windows Device Guard se introdujo en Windows 10 como una nueva y robusta solución de control de aplicaciones diseñada para ser más flexible que AppLocker. Sin embargo, Microsoft promovió Device Guard junto con HVCI y muchos administradores de TI asumieron erróneamente que la parte de control de la aplicación de Device Guard no se podría usar sin HVCI, que tiene algunos requisitos de hardware que muchos dispositivos antiguos no cumplen.

El año pasado, Microsoft anunció que las dos tecnologías que componen Device Guard se habían separado en Windows Defender Application Control, que se ocupa de la inclusión en la lista blanca de aplicaciones, y Windows Defender Exploit Guard manejaría la protección de WDAC utilizando HVCI si fuera necesario. Al separar Device Guard en dos tecnologías distintas, Microsoft espera que los administradores de TI entiendan que HVCI no está obligado a usar WDAC.

Control de aplicaciones de Windows Defender

El control de la aplicación apareció por primera vez en Windows XP como Políticas de restricción de software (SRP), pero no se adoptó ampliamente porque era difícil de implementar. AppLocker en Windows 7 fue diseñado para resolver ese problema. Pero AppLocker no deja de tener sus defectos. No menos importante es que su implementación no es muy robusta. Por ejemplo, los usuarios con privilegios administrativos pueden deshabilitar AppLocker.

Windows Defender Application Control usa políticas de integridad de código (CI) implementadas por el kernel de Windows desde el principio de la secuencia de arranque antes de que la mayoría del otro código del sistema operativo comience a ejecutarse. Las políticas de CI también se extienden al código de modo de kernel, como controladores y componentes de Windows, a diferencia de AppLocker que solo se puede usar para incluir en la lista blanca el código de modo de usuario. Se puede evitar que los administradores manipulen WDAC firmando digitalmente las políticas de CI. Para cambiar una política, un usuario necesitaría privilegios de administrador y acceso al proceso de firma digital de la organización.

Exploit Guard, HVCI, Integridad de la memoria, VBS - Take Your Pick

Además, todo el proceso puede protegerse mediante la seguridad basada en virtualización (VBS) si sus dispositivos cumplen con los requisitos de hardware necesarios. Esto se habilita utilizando Windows Defender Exploit Guard. A veces, esto también se menciona en la documentación de Microsoft como HVCI. Para embarrar aún más las aguas, la característica está etiquetada Integridad de la memoria en Seguridad del dispositivo en el Centro de seguridad de Windows Defender.

Habilite HVCI en el Centro de seguridad de Windows Defender (Crédito de imagen: Russell Smith)

Habilite HVCI en el Centro de seguridad de Windows Defender (Crédito de imagen: Russell Smith)

Si desea habilitar HVCI mediante la Política de grupo o MDM, debe buscar el Activar la seguridad basada en la virtualización configuración en Configuración del equipo> Plantillas administrativas> Sistema> Device Guard. Para obtener más información sobre cómo habilitar HVCI, consulte el sitio web de Microsoft .. Puede averiguar si sus dispositivos son compatibles con HVCI descargando el Dispositivo de preparación para dispositivos de protección y credenciales de Microsoft.

Windows Defender Application Control es una tecnología robusta de inclusión en listas blancas que, cuando se implementa, puede reducir significativamente el riesgo de ser infectado por amenazas persistentes avanzadas (APT) y malware de día cero. Pero tal como está, es probable que la falta de una herramienta de administración de GUI centralizada limite la aceptación. Las herramientas de configuración de PowerShell también implican una curva de aprendizaje empinada y requieren una inversión sustancial en las pruebas. Es posible que algunos controladores no sean compatibles con HVCI. Microsoft tiene más información sobre este tema. .. Las organizaciones interesadas en implementar WDAC podrían considerar habilitarlo primero en servidores donde la cartera de software es relativamente estática.

El puesto ¿Qué es el control de aplicaciones de Windows Defender? apareció por primera vez en Petri.

Publicación relacionada

Deje un comentario.

Este sitio usa Akismet para reducir el correo no deseado. Descubra cómo se procesan los datos de sus comentarios.