Actualización de abril de 2018 de Windows 10 ofrece a todos las funciones de seguridad de "Aislamiento del núcleo" e "Integridad de la memoria". Estos utilizan seguridad basada en virtualización para proteger los procesos centrales de su sistema operativo contra alteraciones, pero la Protección de memoria está desactivada de manera predeterminada para las personas que actualizan.
¿Qué es el aislamiento del núcleo?
En la versión original de Windows 10, seguridad basada en virtualización (VBS) solo estaban disponibles en Ediciones empresariales de Windows 10 como parte de "Device Guard". Con la actualización de abril de 2018, Core Isolation trae algunas características de seguridad basadas en virtualización a todas las ediciones de Windows 10.
Algunas funciones de Core Isolation están habilitadas de forma predeterminada en PC con Windows 10 que cumplen con ciertos requisitos de hardware y firmware , incluyendo tener un CPU de 64 bits y Chip TPM 2.0 . También requiere que su PC admita Intel VT-x o tecnología de virtualización AMD-V, y que está habilitada en la computadora Configuración de UEFI .
Cuando estas funciones están habilitadas, Windows usa funciones de virtualización de hardware para crear un área segura de la memoria del sistema que está aislada del sistema operativo normal. Windows puede ejecutar procesos del sistema y software de seguridad en esta área segura. Esto evita que los procesos importantes del sistema operativo sean manipulados por cualquier cosa que se ejecute fuera del área segura.
Incluso si el malware se está ejecutando en su PC y conoce un exploit que debería permitirle descifrar estos procesos de Windows, la seguridad basada en la virtualización es una capa adicional de protección que los aislará de los ataques.
RELACIONADO: Todo lo nuevo en la actualización de abril de 2018 de Windows 10, disponible ahora
¿Qué es la integridad de la memoria?
La función conocida como "Integridad de la memoria" en la interfaz de Windows 10 también se conoce como "Integridad del código protegido por hipervisor" (HVCI) en la documentación de Microsoft.
La integridad de la memoria está deshabilitada de forma predeterminada en las PC que se actualizaron a la actualización de abril de 2018, pero puede habilitarla. Se habilitará de forma predeterminada en las nuevas instalaciones de Windows 10 en el futuro.
Esta característica es un subconjunto de Core Isolation. Windows normalmente requiere firmas digitales para controladores de dispositivos y otro código que se ejecuta en modo kernel de Windows de bajo nivel. Esto asegura que no hayan sido manipulados por malware. Cuando la "Integridad de la memoria" está habilitada, el "servicio de integridad del código" en Windows se ejecuta dentro del contenedor protegido por hipervisor creado por Core Isolation. Esto debería hacer que sea casi imposible que el malware altere las comprobaciones de integridad del código y obtenga acceso al kernel de Windows.
Problemas de la máquina virtual
Dado que Memory Integrity utiliza el hardware de virtualización del sistema, es incompatible con programas de máquinas virtuales como VirtualBox o VMware. Solo una aplicación puede utilizar este hardware a la vez.
Es posible que vea un mensaje que dice que Intel VT-X o AMD-V no están habilitados o disponibles si instala un programa de máquina virtual en un sistema con la Integridad de memoria habilitada. En VirtualBox, es posible que vea el mensaje de error "El modo sin formato no está disponible por cortesía de Hyper-V" mientras la Protección de memoria está habilitada.
De cualquier manera, si encuentra un problema con el software de su máquina virtual, debe deshabilitar la Integridad de la memoria para usarlo.
¿Por qué está deshabilitado de forma predeterminada?
La función principal de aislamiento del núcleo no debería causar ningún problema. Está habilitado en todas las PC con Windows 10 que pueden admitirlo y no hay una interfaz para deshabilitarlo.
Sin embargo, la protección de la integridad de la memoria puede causar problemas con algunos controladores de dispositivos u otras aplicaciones de Windows de bajo nivel, por lo que está deshabilitada de forma predeterminada en las actualizaciones. Microsoft sigue presionando a los desarrolladores y fabricantes de dispositivos para que hagan compatibles sus controladores y software, razón por la cual está habilitado de forma predeterminada en las nuevas PC y las nuevas instalaciones de Windows 10.
Si uno de los controladores que su PC requiere para arrancar es incompatible con Memory Protection, Windows 10 desactivará silenciosamente la Memory Protection para garantizar que su PC pueda arrancar y funcionar correctamente. Entonces, si intentas habilitarlo y reiniciar solo para descubrir que todavía está deshabilitado, es por eso.
Si tiene problemas con otros dispositivos o un software que funciona mal después de habilitar la Protección de memoria, Microsoft recomienda buscar actualizaciones con la aplicación o el controlador específicos. Si no hay actualizaciones disponibles, desactive la Protección de memoria.
Como mencionamos anteriormente, Memory Integrity también será incompatible con algunas aplicaciones que requieren acceso exclusivo al hardware de virtualización del sistema, como los programas de máquinas virtuales. Otras herramientas, incluidos algunos depuradores, también requieren acceso exclusivo a este hardware y no funcionarán con Memory Integrity habilitado.
Cómo habilitar la integridad de la memoria de aislamiento del núcleo
Puede ver si su PC tiene habilitadas las funciones de Aislamiento del núcleo y activar o desactivar la Protección de memoria desde la aplicación Centro de seguridad de Windows Defender. (Esta herramienta pasará a llamarse "Seguridad de Windows" como parte del Actualización de octubre de 2018 .)
Para abrirlo, busque "Centro de seguridad de Windows Defender" en su menú Inicio o diríjase a Configuración> Actualización y seguridad> Seguridad de Windows> Abrir Centro de seguridad de Windows Defender.
Haga clic en el icono "Seguridad del dispositivo" en el Centro de seguridad.
Si Core Isolation está habilitado en el hardware de su PC, verá el mensaje "La seguridad basada en virtualización se está ejecutando para proteger las partes centrales de su dispositivo" aquí.
Para habilitar (o deshabilitar) la protección de memoria, haga clic en el enlace "Detalles del aislamiento del núcleo".
Esta pantalla muestra si la Integridad de la memoria está habilitada o no. Esa es la única opción aquí por ahora.
Para habilitar la integridad de la memoria, coloque el interruptor en "Activado". Si encuentra problemas con la aplicación o el dispositivo y necesita deshabilitar la Integridad de la memoria, regrese aquí y coloque el interruptor en "Apagado".
Se le pedirá que reinicie su computadora y el cambio solo entrará en vigencia una vez que lo haya hecho.
Más características de Windows Defender Exploit Guard
El aislamiento del núcleo y la integridad de la memoria son algunas de las muchas características de seguridad nuevas que Microsoft ha agregado como parte de Windows Defender Exploit Guard. Esta es una colección de características diseñadas para proteger Windows contra ataques.
Protección contra explotación , que protege su sistema operativo y aplicaciones de muchos tipos de exploits, está habilitado de forma predeterminada. Esto reemplaza al antiguo Herramienta EMET e incluye funciones anti-exploit que anteriormente se recomienda instalar Malware Anti-Exploit para. Todos los usuarios de Windows 10 ahora tienen protección contra exploits.
También hay Acceso controlado a carpetas , que protege sus archivos del ransomware. No está habilitado de forma predeterminada porque requiere alguna configuración. Si habilita esta función, deberá permitir el acceso de las aplicaciones antes de que puedan acceder a los archivos de sus carpetas de archivos personales.
RELACIONADO: Cómo funciona la nueva protección contra vulnerabilidades de Windows Defender (y cómo configurarla)
En el futuro, la integridad de la memoria se habilitará de forma predeterminada en todas las PC nuevas, lo que brindará protección adicional contra ataques. Solo los usuarios avanzados que usan software de máquina virtual y otras herramientas que requieren acceso al hardware de virtualización del sistema tendrán que deshabilitarlo.
