Header Ads Widget

Ticker

6/recent/ticker-posts

Decodificación de la configuración oculta de Microsoft Defender

 Aunque muchos usuarios de Windows 10 optan por la protección antivirus de terceros, es posible que aquellos que usan Microsoft Defender no obtengan toda la protección que podrían. A continuación, le indicamos cómo verificar su configuración y qué cambiar.


Pregúntele a alguien qué software antivirus usa y probablemente obtendrá una discusión casi religiosa sobre cuál ha instalado. Las opciones de antivirus a menudo se basan en lo que confiamos, o no, en nuestro sistema operativo. He visto a algunos usuarios de Windows indicar que prefieren que un proveedor externo vigile y proteja sus sistemas. Otros, como yo, ven el software antivirus como menos importante en estos días; Es más importante que su proveedor de antivirus pueda manejar la actualización de Windows correctamente y no cause problemas.

Otros confían en Microsoft Defender . Ha existido de una forma u otra desde Windows XP.

Defender tuvo recientemente un problema de día cero que se solucionó en silencio. Como resultado, indiqué a muchos usuarios que verificaran qué versión de Defender tenían instalada. (Para verificar: haga clic en Inicio, luego en Configuración, luego en Actualización y seguridad, luego en Seguridad de Windows, luego en Abrir seguridad de Windows. Ahora, busque el engranaje (configuración) y seleccione Acerca de.

Defender implica más que solo verificar archivos y descargas defectuosos. Ofrece una variedad de configuraciones que la mayoría de los usuarios no verifican regularmente, o que ni siquiera conocen. Algunos están expuestos en la GUI. Otros confían en desarrolladores externos para brindar orientación y comprensión adicionales. Una de esas opciones es la herramienta ConfigureDefender en el sitio de descarga de GitHub. (ConfigureDefender expone todas las configuraciones que puede usar a través de PowerShell o el registro).

ConfigureDefender
ConfigureDefender

La herramienta ConfigureDefender.

Como se indica en el sitio ConfigureDefender, las diferentes versiones de Windows 10 proporcionan diferentes herramientas para Defender. Todas las versiones de Windows 10 incluyen monitoreo en tiempo real; Monitoreo del comportamiento; escaneos de todos los archivos y adjuntos descargados; Nivel de informes (nivel de membresía de MAPS); Carga de CPU promedio durante el escaneo; Envío automático de muestras; Comprobaciones de aplicaciones potencialmente no deseadas (llamadas PUA Protection); un nivel básico de protección en la nube (predeterminado)y un límite de tiempo de verificación en la nube base. Con el lanzamiento de Windows 10 1607, se introdujo la configuración de "bloqueo a primera vista". Con la versión 1703, se agregaron niveles más detallados de Cloud Protection Level y Cloud Check Time Limit. Y a partir de 1709, apareció la reducción de la superficie de ataque, el nivel de protección en la nube (con niveles extendidos para Windows Pro y Enterprise), el acceso controlado a las carpetas y la protección de la red.

A medida que se desplaza por la herramienta, verá una sección que cubre el control de las reglas de Reducción de superficie de ataque (ASR) de Microsoft. También notará que muchos de ellos están deshabilitados. Estas se encuentran entre las configuraciones más pasadas por alto en Microsoft Defender. Si bien necesitará una licencia Enterprise para exponer completamente el monitoreo a través de su red, incluso las computadoras independientes y las pequeñas empresas pueden aprovechar estas configuraciones y protecciones. Como se señaló en un documento reciente, recomendaciones de Reducción de superficie de ataque de Microsoft Defender , hay varias configuraciones que deberían ser seguras para la mayoría de los entornos. 

    Las configuraciones recomendadas para habilitar incluyen:

    • Bloquee procesos que no sean de confianza y sin firmar que se ejecuten desde USB.
    • Impedir que Adobe Reader cree procesos secundarios.
    • Bloquea el contenido ejecutable del cliente de correo electrónico y el correo web.
    • Evite que JavaScript o VBScript inicien contenido ejecutable descargado.
    • Bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows (lsass.exe).
    • Impedir que las aplicaciones de Office creen contenido ejecutable.

    Activar estas configuraciones, lo que significa que bloquean la acción, por lo general no afectará negativamente ni siquiera a las computadoras independientes. Puede utilizar la herramienta para establecer estos valores y revisar cualquier impacto en su sistema. Lo más probable es que ni siquiera te des cuenta de que te están protegiendo mejor.

    A continuación, hay configuraciones que deben revisarse para su entorno para asegurarse de que no interfieran con sus necesidades comerciales o informáticas. Estas configuraciones son:

    • Impedir que las aplicaciones de Office inyecten código en otros procesos.
    • Bloquee las llamadas a la API de Win32 desde las macros de Office.
    • Bloquear todas las aplicaciones de Office para que no creen procesos secundarios.
    • Bloquear la ejecución de scripts potencialmente ofuscados.

    En particular, en un entorno que incluye Outlook y Teams, se registraba una gran cantidad de eventos si se activaba la configuración de "Bloquear todas las aplicaciones de Office para que no creen procesos secundarios". Nuevamente, puede probar estos y ver si se ve afectado.

    Las configuraciones a tener en cuenta incluyen estas:

    • Bloquear la ejecución de archivos ejecutables a menos que cumplan con un criterio de prevalencia, edad o lista de confianza.
    • Utilice protección avanzada contra ransomware.
    • Bloquear las creaciones de procesos que se originan en los comandos PSExec y WMI.
    • Bloquear todas las aplicaciones de comunicación de Office para que no creen procesos secundarios.

    Estas configuraciones deben revisarse para asegurarse de que no obstaculicen las aplicaciones y los procesos comerciales de la línea de negocio. Por ejemplo, si bien “Usar protección avanzada contra ransomware” suena como una configuración que todos desearían, en una empresa donde un equipo había desarrollado software de uso interno, generó problemas con los flujos de trabajo de los desarrolladores. (Esta configuración analiza específicamente los archivos ejecutables que ingresan al sistema para determinar si son confiables. Si los archivos se parecen al ransomware, esta regla impide que se ejecuten).

    La configuración, "Bloquear las creaciones de procesos que se originan en los comandos PSExec y WMI", fue especialmente problemática, según los autores. La configuración no solo generó una gran cantidad de eventos en el registro de auditoría, sino que también es incompatible con Microsoft Endpoint Configuration Manager, ya que el cliente del administrador de configuración necesita comandos WMI para funcionar correctamente.

    Si no ha mirado las configuraciones adicionales en Microsoft Defender, descargue el archivo zip de github, descomprímalo y ejecute ConfigureDefender.exe para ver cómo estas configuraciones pueden afectar su computación. Es posible que se sorprenda al descubrir que puede agregar un poco más de protección sin afectar su experiencia informática.

    Publicar un comentario

    0 Comentarios