Llegamos a ustedes gracias a:



Reportajes y análisis

Windows 10: Qué hay de nuevo en términos de seguridad

[15/06/2018] Con la nueva era de Windows como servicio, Microsoft está implementando cambios en el sistema operativo dos veces al año. Muchos de esos cambios le permitirán mejorar su postura de seguridad y ofrecer más opciones en este ámbito. Ya no tendrá que esperar a que un nuevo sistema operativo despliegue nuevas funciones de seguridad.

A continuación, se muestra un resumen de todas las nuevas características y opciones de seguridad en Windows 10 versión 1803, a la cual yo llamo la edición de privacidad.

Windows 10 1803: La edición de privacidad

Esta edición estaba programada para ser lanzada en marzo del 2018. Debido a problemas de calidad y lanzamiento, incluyendo pantallas azules de la muerte reportadas en algunos de los releases finales de prueba, la fecha de lanzamiento de la función se pospuso hasta el 30 de abril. Es alentador ver que Microsoft está poniendo énfasis en la calidad y no solo en el envío de la actualización de la característica como un hito clave.

Para obtener mejores resultados, instale el controlador de video y las actualizaciones de la placa base antes de instalar cualquier actualización de funciones. También es aconsejable comunicarse con sus proveedores, específicamente por cualquier software de seguridad de terceros del que dependa. Muchos tienen versiones de software de seguridad listas para usar cuando Windows 1803 se lance. Otros pueden necesitar tiempo para revisar que su software trabaje con la nueva edición.

Se espera que Windows 1803 tenga un release semi anual. Las empresas deben probar y confirmar que la actualización es aceptable para la empresa. En unos meses, cuando Microsoft declare que el software es "canal semestral", se supone que estará listo para que las empresas lo implementen por completo y para un lanzamiento más amplio. Cuando Microsoft anuncie la fecha de lanzamiento, se volverá a publicar en el canal de servicios de actualización de software de Windows y en otras plataformas de parches para permitir un lanzamiento más amplio.

La próxima versión de la función se espera alrededor de septiembre. Windows también está alineando su cronograma de publicación de características con versiones de Office 365. A pesar de que solo hay seis meses entre releases, Microsoft da soporte a cada versión individual por un tiempo razonable. Normalmente, Microsoft da soporte a una edición de Windows 10 con actualizaciones de calidad (seguridad) durante 18 meses. Debido a cambios en Office, se agregó seis meses de compatibilidad con las versiones 1607, 1703 y 1709. Por lo tanto, puede optar por omitir una versión y pasar a la siguiente dentro de su metodología de implementación.

Estas son algunas de las razones por las que quizás desee implementar 1803 antes o después:

Funciones de privacidad

La Unión Europea (UE) está implementando nuevas reglas para garantizar la privacidad de los ciudadanos de la UE en forma de Regulaciones Generales de Protección de Datos (GDPR). Si bien no es un requisito de las GDPR, la 1803 expone lo que Microsoft está recopilando de su sistema con respecto a la telemetría.

Microsoft usa telemetría para rastrear qué funciones utiliza, el éxito o falla de las actualizaciones y varias otras configuraciones. Las empresas en industrias sensibles a menudo están preocupadas porque no se puede compartir información por ningún motivo. Antes del lanzamiento de la 1803, si quería bloquear toda la telemetría y seguir recibiendo las actualizaciones de Windows, tenía que actualizar a la versión Windows Enterprise.

Para usar y ver el nuevo Visor de datos de diagnóstico, debe habilitarlo en Configuración. Luego vaya a Privacidad y luego vaya a Diagnósticos y comentarios. A continuación, haga clic en "Visor de datos de diagnóstico" para descargar la herramienta de la tienda de Windows.

Diagnostic Data Viewer se puede descargar desde Windows Store
Windows 10 Privacidad

Ahora puede iniciar y revisar lo que se envía a Microsoft. Los datos están dirigidos a los desarrolladores, por lo que puede encontrar que los detalles son un poco complicados. Puede que no le encuentre sentido a muchos de los elementos que se están rastreando a menos que comprenda los detalles del sistema operativo. Sin embargo, es una buena señal de buena fe que estos elementos ahora se expongan y puedan ser examinados por revisores externos para ayudarnos a comprender qué se está rastreando y enviando a Microsoft.

Con Diagnostic Data Viewer puede seleccionar qué datos van a Microsoft.
Windows 10 Privacidad

De interés relacionado es el centro de privacidad en línea donde puede iniciar sesión y revisar lo que Microsoft está recopilando en línea con respecto a su historial de navegación y uso de Cortana. Revise este sitio para determinar qué se está capturando actualmente de sus sistemas. Una vez allí, también puede eliminar los datos que se enviaron a Microsoft.

Notificaciones de actualización de Windows

Microsoft está realizando pequeños cambios en las notificaciones de actualización de Windows para que sea mucho más obvio que se está llevando a cabo una actualización y reinicie su sistema. También ha agregado configuraciones para ayudar con la instalación. Cuando su computadora está encendida, Windows Update evitará que una computadora inactiva entre en suspensión durante dos horas cuando se instala una actualización.

Cambios de actualización de Windows

Los administradores obtienen más políticas de grupo y ajustes de registro para acelerar mejor el ancho de banda de actualización de Windows en una configuración de red. Las nuevas funciones se encuentran en Plantillas administrativas > Componentes de Windows > Optimización de entrega. Estos nuevos controles le permiten ajustar el ancho de banda utilizado por las descargas en primer plano.

La cantidad de ancho de banda ahora puede limitarse para las actualizaciones de Windows Update y Microsoft Store. Anteriormente, solo se podía limitar el ancho de banda de descarga. Ahora se puede especificar el ancho de banda de descarga máximo en primer plano (porcentaje) o el ancho de banda de descarga máximo en segundo plano (porcentaje). El proceso de instalación de actualizaciones de funciones se diseñó para ser más rápido para permitir que su máquina vuelva al acceso funcional después de que se haya activado la actualización de características.

Los administradores tienen la capacidad de personalizar la ventana de retroceso. Antes el sistema guardaba durante 10 días su versión antigua, ahora el administrador tiene comandos para personalizar el número de días que el sistema guardará la versión previa.

Los siguientes comandos se pueden usar para personalizar la ventana de retroceso:

  • DISM / Online / Initiate-OSUninstall: Inicia la desinstalación del sistema operativo para regresar la computadora a la instalación previa de Windows.
  • DISM / Online / Remove-OSUninstall: Elimina la capacidad de desinstalación del sistema operativo de la computadora.
  • DISM / Online / Get-OSUninstallWindow: Muestra el número de días después de la actualización durante los cuales se puede realizar la desinstalación.
  • DISM / Online / Set-OSUninstallWindow: Establece la cantidad de días después de la actualización durante la cual se puede realizar la desinstalación.

Windows Hello

Windows Hello está realizando importantes inversiones en cambios en las contraseñas y en la administración de las mismas. En primer lugar, es compatible con la autenticación FIDO 2.0 para los dispositivos con Windows 10 unidos a Azure AD, y ha aumentado las opciones y características para admitir dispositivos compartidos. El modo Windows 10 S (más sobre esto más adelante) lleva las contraseñas al siguiente nivel colocando el proceso de autenticación en su dispositivo móvil.

La aplicación Microsoft Authenticator está disponible para Android e iPhone, y puede ser el software de autenticación utilizado para iniciar sesión. Reemplaza el proceso tradicional de autenticación de contraseñas. El proceso para guiarlo a través de la configuración de las técnicas de contraseñas alternativas de Windows Hello es más fácil también. Ahora puede iniciar el proceso desde la pantalla principal de inicio de sesión y puede elegir Windows Hello Face, Fingerprint o PIN options.

Opciones de implementación y contraseña

Microsoft está alentando a los fabricantes de equipos originales a usar AutoPilot para implementar y aprovisionar computadoras de manera segura para las empresas. Surface, Lenovo y Dell actualmente son compatibles con AutoPilot, y en los próximos meses Microsoft espera el soporte de más proveedores como HP, Toshiba, Panasonic y Fujitsu. Combinado con Intune, AutoPilot garantiza que la máquina se bloquee durante el proceso de configuración y se entregue al usuario final de forma segura.

Para computadoras independientes, Windows 10 1803 ahora permite configurar preguntas de seguridad para que sea más fácil restablecer una cuenta local que tiene una contraseña olvidada.

Windows Defender cambió su nombre a Windows Security

Microsoft ha cambiado el nombre y ha rediseñado ligeramente Windows Defender y ahora lo llama Windows Security. Virus y amenazas, protecciones de cuentas y protecciones de firewall y redes; aplicación y control de navegador; seguridad de dispositivo; rendimiento del dispositivo; y las opciones de salud y familia ahora son subconjuntos de la sección Seguridad. El acceso a la carpeta controlada, agregado en 1709, se ha movido a la sección de protección de ransomware.

Windows Security ahora comparte el estado entre los servicios de Microsoft 365 e interopera con Windows Defender Advanced Threat Protection, la herramienta de análisis forense basada en la nube de Microsoft. Windows Defender Exploit Guard incluye virtualización (VBS) e integridad de código protegido por hipervisor (HVCI). Windows Defender Application Guard ha agregado soporte para Edge y ahora se puede habilitar en Windows Pro, y no solo en la versión Enterprise soportada anteriormente. Application Guard tiene que habilitarse usando Intune, la política de grupo, o Powershell en Enterprise, pero puede habilitarse para computadoras independientes.

Actualizaciones del navegador Edge

El navegador Edge ahora permite extensiones cuando el navegador se usa en modo privado. Además, Windows Defender Application Guard ahora está disponible para Edge e Internet Explorer para versiones Pro con la nueva versión de 1803. Puede identificar qué sitios son confiables, y si un usuario navega a un sitio web que no es de confianza a través de Microsoft Edge o Internet Explorer.

Microsoft Edge abrirá el sitio en un contenedor aislado habilitado para Hyper-V. Esto está separado del sistema operativo host. Si el sitio que no es de confianza es malicioso, entonces la PC host está protegida. El contenedor aislado es entonces anónimo, por lo que un atacante no puede acceder a las credenciales empresariales de sus empleados. La habilitación de Application Guard requiere hardware que admita la virtualización. Luego vaya al Panel de control, Programas y características y active Funciones. Haga clic para instalar la característica Windows Defender Application Guard. En la versión 1803, esta protección importante ahora se incluye en el SKU pro y ya no se limita a la versión Enterprise.

Protección Ransomware

Presentado por primera vez en 1709, Controlled Folder Access, que protege las carpetas locales más frecuentemente atacadas por el ransomware, se ha movido a su propia ubicación en la sección Windows Security. Si se suscribe a Office 365, se han incluido protecciones y detecciones ransomware adicionales. Si es un suscriptor personal o un suscriptor de inicio, ahora Ransomware Detection le notifica cuando los archivos de OneDrive se han cifrado.

Modo quiosco

A menudo, en las empresas, desean implementar lo que se denomina "modo kiosco". La implementación será un navegador bloqueado con una cantidad mínima de soporte de aplicaciones. Con el lanzamiento de la 1803, Intune es ahora la metodología preferida para implementar un sistema Windows 10 en modo kiosco. Como se ha señalado desde Microsoft, el navegador Kiosk se puede implementar de la tienda de Microsoft. Una vez desplegado, puede configurar una URL de inicio, URL permitidas y habilitar/deshabilitar botones de navegación a través de la implementación.

Modo Windows S

El mayor cambio y la mayor ganancia de seguridad potencial es la introducción del modo Windows S. Tiene el potencial de una metodología de implementación de bloqueo similar a la forma en que los teléfonos celulares solo pueden instalar aplicaciones desde la tienda del proveedor de telefonía móvil. Las aplicaciones están verificadas por Microsoft para seguridad y rendimiento y solo se pueden implementar desde la tienda de Microsoft.

Finalmente, Microsoft ha lanzado un borrador de línea de base de seguridad recomendada. Las diferencias entre el borrador 1803 y la línea base lanzada para 1709 incluyen:

  1. Dos scripts para aplicar configuraciones a la política local: Uno para sistemas unidos a un dominio y otro que elimina las prohibiciones de acceso remoto para cuentas locales, lo cual es particularmente útil para sistemas no unidos a un dominio y para administración remota usando la Contraseña de administrador local Solución (LAPS): cuentas administradas.
  2. Mayor alineación con las recomendaciones de auditoría avanzada en el documento de referencia de auditoría y supervisión de seguridad de Windows 10 y Windows Server 2016.
  3. Configuración actualizada de protección de exploits de Exploit Exploit Guard (un archivo EP.xml por separado).
  4. Nuevas mitigaciones de Reducción de superficie de ataque (ASR) de Windows Defender Exploit Guard.
  5. Eliminación de numerosas configuraciones que ya no brindan mitigación contra amenazas de seguridad contemporáneas. Las diferencias de GPO se enumeran en una hoja de cálculo en la carpeta Documentación del paquete.

Una vez más, sus organizaciones deben actualizar a la versión 1803 una vez que haya probado y verificado la compatibilidad, y verificado con sus proveedores la compatibilidad. Se espera que sea declarado canal semestral y, por lo tanto, listo para el negocio en tres o cuatro meses.

Windows 10 1709: La edición anti-ransomware

El lanzamiento de Windows 10 Fall Creators Edition es, en mi opinión, el primer lanzamiento en el que Microsoft está aumentando enormemente, y reconoce el impacto del ransomware. Las características clave de seguridad incluidas en la versión 1709 ofrecen a los profesionales de TI la capacidad de proporcionar medios adicionales para prevenir y defenderse del ransomware. Estas son las características principales de la edición:

Window Defender Exploit Guard: Window Defender Exploit Guard es el nombre de cuatro conjuntos de características diferentes que ayudan a bloquear y defenderse de ataques. Las cuatro características de Exploit Guard incluyen protección de exploits, herramientas de reducción de superficie de ataque, protección de red y acceso controlado a carpetas. Exploit Protection es la única característica que funciona si utiliza una herramienta antivirus de terceros. Las otras tres funciones requieren Windows Defender y no funcionarán si usa un software antivirus de terceros. Es poco probable que este prerrequisito cambie debido a la dependencia de Windows Defender para proporcionar la API y la infraestructura necesaria para admitir las características.

Protección contra explotaciones: Esta es la única de las cuatro tecnologías de Exploit Guard que no requiere que Windows Defender sea su antivirus principal. La protección contra explotaciones se puede controlar a través de políticas de grupo o PowerShell. Un servicio adicional de registro basado en la nube llamado Windows Defender Advanced Threat Protection proporciona evidencia de seguimiento forense de las amenazas y los ataques se pueden utilizar para realizar un mejor seguimiento e investigar los eventos de Exploit Guard. No es obligatorio habilitar esta tecnología.

Para habilitar Exploit Protection, comience implementando la tecnología en máquinas de prueba antes de implementar ampliamente. Abra Configuración, vaya a Actualización y seguridad, abra la aplicación Windows Defender y luego abra el Centro de seguridad de Windows Defender. A continuación, vaya a la aplicación y al control del navegador y desplácese hacia abajo a Exploit Protection. Abra la configuración de protección de exploits.

De forma predeterminada, Windows 10 tiene la siguiente configuración:

  • Control Flow Guard (CFG) (activado de forma predeterminada) es una mitigación que evita que el flujo de control de redireccionamiento a un inesperado.
  • Prevención de ejecución de datos (DEP) (activada de manera predeterminada) es una característica de seguridad que se introdujo en Vista y plataformas posteriores. La característica ayuda a prevenir daños a su computadora de virus y otras amenazas a la seguridad. DEP protege su computadora al monitorear programas para asegurarse de que usen la memoria del sistema de manera segura. Cuando DEP detecte malware, podría desencadenar una pantalla azul de muerte para proteger el sistema operativo.
  • Forzar Aleatorización para Imágenes (ASLR Obligatorio) (desactivado por defecto) es una técnica para evadir a los atacantes aleatorizando dónde estará la posición de los procesos en la memoria. La asignación al azar del diseño de espacio de direcciones (ASLR) coloca los destinos del espacio de direcciones en ubicaciones impredecibles. Si un atacante intenta lanzar un exploit, la aplicación de destino se bloqueará (pantalla azul), deteniendo el ataque.
  • Aleatorizar asignaciones de memoria (ASLR ascendente) (activada de manera predeterminada) permite asignar aleatoriamente las asignaciones ascendentes ( VirtualAlloc ( ) VirtualAllocEx ()). Los ataques que utilizan ASLR omitido y DEP en Adobe Reader se previenen con esta configuración.
  • Validar cadenas de excepciones (SEHOP) (activado de manera predeterminada) evita que un atacante use la técnica de explotación de sobrescritura del Manejador de excepciones estructuradas (SEH). Desde que se publicó por primera vez en septiembre de 2003, este ataque a menudo ha estado en el arsenal de muchos hackers.
  •  Validar Heap Integrity (activado de manera predeterminada) protege contra los ataques de corrupción de memoria.

Puede establecer tanto la configuración del sistema como la configuración del programa y luego exportarlos en un archivo XML para luego implementarlos en otras computadoras a través de PowerShell.

Reducción de superficie de ataque

La reducción de superficie de ataque es un nuevo conjunto de herramientas que bloquea principalmente Office, Java, y otros ataques tipo día cero. Con la adición de una licencia de Windows E5 y Windows Advanced Threat Protection, recibirá un sistema de alerta basado en la nube cuando se activen estas reglas. Sin embargo, no es obligatorio tener la licencia E5 para administrar y defender sistemas. Esta es una de las tres características de Windows Defender Exploit Guard que no funcionarán con antivirus de terceros implementados. Debe usar Windows Defender para habilitar esta protección.

Para habilitar estas protecciones, puede usar políticas de grupo, claves de registro o administración de dispositivos móviles. Para habilitar a través de la política de grupo, vaya a Configuración del equipo en el Editor de administración de directivas de grupo, luego Políticas, luego Plantillas administrativas. Expanda el árbol a los componentes de Windows > Windows Defender Antivirus > Windows Defender Exploit Guard > Ataque a la reducción de superficie. Haga doble clic en la configuración Configurar reglas de reducción de superficie de ataque y establezca la opción en Activado. Para habilitar la Reducción de superficie de ataque con PowerShell, ingrese Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID > -AttackSurfaceReductionRules_Actions Enabled.

Ahora necesita determinar qué planea bloquear. Se recomienda comenzar en modo auditoría para evaluar el impacto en su red y dispositivos. Los valores que puede establecer para habilitar la Reducción de superficie de ataque son:

  • Modo de bloque = 1
  • Desactivado = 0
  • Modo de auditoría = 2

Una vez que haya determinado que la protección no afectará la productividad, puede establecer el valor en Modo de bloque para habilitar completamente las protecciones. Ingrese cada regla en una nueva línea como un par nombre-valor con un código GUID y luego el valor de 1 para imponer el bloqueo, 0 para deshabilitar la regla, o 2 para establecer la regla para auditar. Al comenzar a evaluar las reglas, establezca el valor en 2 y monitoree los resultados en el registro de eventos.

  • Columna de nombre: Ingrese una ID de regla de ASR válida o GUID
  • * Columna de valor: Ingrese la ID de estado que se relaciona con el estado que desea especificar para la regla asociada

Las siguientes reglas se pueden habilitar para proteger mejor su computadora y su red.

Regla: bloquea el contenido ejecutable desde el cliente de correo electrónico y webmail. ID de regla de ASR o GUID: BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550

  • Bloquea archivos ejecutables (como .exe, .dll o .scr)
  • Bloquea los archivos de script (como PowerShell .ps, VisualBasic .vbs o JavaScript .js)
  • Bloquea archivos de archivos de script

Regla:Las aplicaciones Block Office no crean procesos secundarios. ID de regla o GUID de ASR: D4F940AB-401B-4EFC-AADC-AD5F3C50688A

Esta regla impide que las aplicaciones de Microsoft Office creen contenido secundario. Este es el comportamiento típico de malware, especialmente con ataques basados en macro.

Regla:Las aplicaciones Block Office no crean contenido ejecutable. ID de regla de ASR o GUID: 3B576869-A4EC-4529-8536-B80A7769E899.

Esta regla impide que las aplicaciones de Office creen contenido ejecutable. Este es un comportamiento típico de malware. Los ataques a menudo usan Windows Scripting Host (archivos .wsh) para ejecutar scripts.

Regla:Bloquear aplicaciones de Office desde la inyección de código en otros procesos. ID de regla de ASR o GUID: 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84.

Las aplicaciones de Office como Word, Excel y PowerPoint no podrán insertar código en otros procesos. El malware generalmente usa esto para evitar la detección de virus.

Regla: Bloquee JavaScript o VBScript para iniciar el contenido ejecutable descargado. ID de regla de ASR o GUID: D3E037E1-3EB8-44C8-A917-57927947596D

Esta regla bloquea el uso de JavaScript y VBScript para iniciar aplicaciones, evitando así el uso malintencionado de scripts para ejecutar malware.

Regla: Ejecución de bloques de scripts potencialmente ofuscados. ID de regla de ASR o GUID: 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC

Esta regla evita que se ejecuten las secuencias de comandos que parecen estar ofuscadas. Utiliza la Interfaz de exploración AntiMalware (AMSI) para determinar si una secuencia de comandos es maliciosa.

Regla: Bloquear llamadas a la API de Win32 desde la macro de Office. ID de regla de ASR o GUID: 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B

El malware a menudo utiliza archivos de macro de Office para importar y cargar archivos DLL de Win32, que luego utilizan llamadas API para infectar aún más el sistema.

Protección de red

La protección de red está diseñada para proteger su computadora y su red de dominios que pueden alojar phishing estafas, exploits y otro contenido malicioso en Internet. Se puede habilitar a través de PowerShell o Política de grupo. En el Editor de administración de políticas de grupo, vaya a Configuración del equipo, luego Políticas, luego Plantillas administrativas. Expanda el árbol a los componentes de Windows > Windows Defender Antivirus > Windows Defender Exploit Guard > Protección de red. Haga doble clic en la opción Evitar que usuarios y aplicaciones accedan a sitios web peligrosos y establezca la opción en Activado.

Para habilitar el uso de PowerShell, ingrese Set-MpPreference -EnableNetworkProtection Enabled. Para habilitar el modo de auditoría, escriba Set-MpPreference -EnableNetworkProtection AuditMode. Para habilitar completamente la protección, debe reiniciar la computadora.

Una vez habilitado, puede probar la característica yendo a este sitio web. El sitio debe estar bloqueado y debería ver una notificación que indique el estado de amenaza del sitio en la bandeja del sistema. El sistema ahora se basa en la tecnología Microsoft SmartScreen para bloquear sitios web. Si se encuentra un falso positivo, debe enviar una solicitud para incluir en la lista blanca un sitio web usando la página de envío de Microsoft.

Esta es una de las tres características de Windows Defender Exploit Guard que no funcionarán con antivirus de terceros implementados. Debe usar Windows Defender para habilitar esta protección.

Acceso a carpetas controladas

La protección de acceso a carpetas controladas está diseñada para prevenir y defenderse de los típicos ataques de ransomware. Se puede habilitar mediante la aplicación Windows Defender Security Center a través de la política de grupo, PowerShell o los proveedores de servicios de configuración para la administración de dispositivos móviles. Todas las aplicaciones que acceden a cualquier archivo ejecutable (incluidos los archivos .exe, .scr y .dll) utilizan la interfaz de Windows Defender Antivirus para determinar si la aplicación es segura. Si la aplicación es maliciosa, no podrá realizar cambios en los archivos de las carpetas protegidas.

Ciertas carpetas están protegidas de manera predeterminada y luego el administrador puede agregar carpetas que consideren que necesitan protección adicional. Para habilitar el acceso controlado a la carpeta mediante el tipo de PowerShell, ingrese el siguiente comando: Set-MpPreference -EnableControlledFolderAccess Enabled. Para habilitar el acceso a carpetas controladas a través de políticas de grupo, Editor de administración de políticas grupales, vaya a Configuración del equipo, haga clic en Políticas, luego en Plantillas administrativas y luego expanda el árbol a componentes de Windows > Antivirus de Windows Defender > Exploit Exploit Guard de Windows > Acceso a carpetas controladas. Haga doble clic en la configuración de Configurar acceso a carpetas controladas y establezca la opción en Activado.

De forma predeterminada, las siguientes carpetas están habilitadas para protección:

  • C:\Users\<user>\Documents
  • C:\Users\Public\Documents
  • C:\Users\<user>\Pictures
  • C:\Users\Public\Pictures
  • C:\Users\<user>Videos
  • C:\Users\Public\Videos
  • C:\Users\<user>\Music
  • C:\Users\Public\Music
  • C:\Users\<user>\Desktop
  • C:\Users\Public\Desktop
  • C:\Users\<user>\Favorites

A continuación, puede agregar manualmente carpetas como mejor le parezca. Si tiene una aplicación bloqueada por Controlled Folder Access, puede permitir una aplicación. Para permitir una anulación, vaya al Editor de administración de directivas de grupo y luego vaya a Configuración del equipo. Haga clic en Políticas y luego en Plantillas administrativas. Expanda el árbol a los componentes de Windows > Windows Defender Antivirus > Windows Defender Exploit Guard > Controlled Folder Access. Haga doble clic en la configuración Configurar aplicaciones permitidas y establezca la opción en Activado. Haga clic en Mostrar e ingrese cada aplicación. Para permitir una aplicación a través de PowerShell, ingrese Add-MpPreference -ControlledFolderAccessAllowedApplications "<la aplicación que debe permitirse, incluida la ruta>". Deberá probar la configuración antes de una implementación generalizada para observar qué ajustes debe realizar para la compatibilidad completa de las aplicaciones.

Esta es la última de las tres características de Windows Defender Exploit Guard que no funcionarán con antivirus de terceros implementados. Debe usar Windows Defender para habilitar esta protección.

Líneas de base de seguridad de Windows

Las configuraciones de línea de base de seguridad de Windows se han actualizado para admitir Windows 10 1709. Las líneas de base de seguridad son un conjunto de configuraciones recomendadas para los mejores sistemas seguros en las empresas. Las organizaciones pueden usar Security Compliance Toolkit para revisar la configuración de directiva de grupo recomendada. Microsoft certifica que prueban actualizaciones contra estas configuraciones.

Windows Defender Advanced Threat Protection (ATP)

Windows Defender ATP es una consola basada en la nube que permite el seguimiento forense de amenazas y ataques. Se habilita una vez que compra una suscripción a Windows E5 o Microsoft Office 365 E5. Una vez que compre la suscripción, puede inscribir estaciones de trabajo a través de políticas de grupo o claves de registro, que luego suben la telemetría a un servicio en la nube. El servicio monitorea ataques laterales, ransomware y otros ataques típicos. La versión 1709 aumenta la integración de análisis y pila de seguridad para mejores informes e integración.

El 12 de febrero, Microsoft anunció que está ofreciendo Soporte de nivel inferior de Windows Defender ATP para Windows 7 SP1 y Windows 8.1. En una publicación de blog, la compañía dijo que está ofreciendo el servicio en reconocimiento de que muchas compañías tienen una combinación de versiones de Windows en su lugar cuando hacen la transición a Windows 10.

Windows Defender Application Guard

Application Guard asegura que las empresas puedan controlar el nuevo navegador Edge de Microsoft para bloquear y defender mejor las estaciones de trabajo de los ataques. Application Guard se debe desplegar en máquinas de 64 bits, y las máquinas deben tener Extended Page Tables, también llamado Second Level Address Translation (SLAT), así como extensiones Intel VT-x o AMD-V. La versión Enterprise de Windows 10 también es obligatoria.

El protector de aplicación se puede controlar mediante una política de grupo, Intune o System Center. Application Guard se puede implementar a través de características o PowerShell usando Enable-WindowsOptionalFeature-online-FeatureName Windows-Defender-ApplicationGuard. Una vez habilitado, puede limitar los sitios web para bloquear contenido externo en Internet Explorer y Edge, limitar la impresión, el uso del portapapeles y aislar el navegador para que solo use los recursos de la red local.

Windows Defender Device Guard

Device Guard es un nuevo nombre para las políticas de restricción de software. A menos que una aplicación sea confiable, no se puede ejecutar en el sistema. En lugar del modelo actual de software que usamos ahora, donde confiamos en el software por defecto, Device Guard supone que todo el software es sospechoso y solo permite que el software en el que confía se ejecute en su sistema. Al igual que el protector de aplicaciones, los requisitos incluyen tecnología de virtualización.

Protección de información de Windows (WIP)

WIP ahora funciona con Office y Azure Information Protection. WIP solía llamarse Enterprise Data Protection. Establecer una política de WIP asegura que los archivos descargados desde una ubicación de Azure serán encriptados. Puede configurar una lista de aplicaciones que tienen permiso para acceder a estos datos protegidos.

BitLocker

La longitud mínima de PIN para BitLocker se cambió en la versión 1709 de seis a cuatro, con seis como valor predeterminado.

Windows Hello

Sistema de autenticación facial de Microsoft se ha mejorado en la versión 1709 para usar la configuración de proximidad para permitir la autenticación multifactor en implementaciones más confidenciales.

Actualización de Windows for Business

La configuración de la política de grupo que le permite controlar mejor las actualizaciones en Windows 10 ahora incluye la capacidad de controlar el uso de Insider Edition en los sistemas en su red. Esto le permite inscribirse en sistemas comerciales en el proceso de prueba beta de Microsoft. Las organizaciones pueden optar por participar en este programa para evaluar mejor y prepararse para la publicación de características.

Funciones de seguridad anteriores a la versión 1709

Los cambios de seguridad y las mejoras introducidas en ediciones anteriores incluyen lo siguiente:

Protección avanzada contra amenazas de Windows Defender: Windows 10 1703 introdujo la capacidad de utilizar la API de inteligencia de amenazas para crear alertas personalizadas. Se hicieron mejoras en la memoria del sistema operativo y en los sensores del kernel para detectar mejor los ataques en las profundidades del sistema operativo. También permitió seis meses de detección histórica para una mejor revisión de los patrones. Los eventos de Detección de antivirus y Guardia de Dispositivo se colocaron en el portal de Protección de amenazas. Windows 10 1607 introdujo originalmente la herramienta forense en la nube en línea para la plataforma Windows 10 por primera vez.

Windows Defender Antivirus: Este fue renombrado desde Windows Defender en la versión 1703 y se integró a la aplicación del Centro de seguridad de Windows Defender. Además, se mejoró la supervisión del comportamiento actualizado y la protección en tiempo real. En Windows 10 1607, se introdujeron los cmdlets de PowerShell para configurar las opciones y ejecutar escaneos.

Windows Defender Credential Guard: Los nombres de usuario y las contraseñas son robados de forma regular para obtener acceso a los sistemas. Un atacante obtiene acceso a un sistema comprometido y luego usar ataques como "Pasar el hash" o "Pasar el ticket" puede cosechar las credenciales guardadas en los sistemas para realizar ataques de movimiento lateral a través de una red. El protector de credenciales protege los hash de contraseñas NTLM, los tickets de concesión de tickets de Kerberos, y las credenciales almacenadas por las aplicaciones como credenciales de dominio de los atacantes. Sin embargo, tenga en cuenta que las aplicaciones de inicio de sesión único pueden no funcionar si se habilita la protección de credenciales.

Windows 10 1703 aumentó el requisito de hardware para implementar Device Guard y Credential Guard para proteger mejor de las vulnerabilidades en los escenarios de runtime UEFI:

  • Soporte para seguridad basada en virtualización (requerido)
  • Arranque seguro (requerido)
  • TPM 2.0 discreto o firmware (preferido: proporciona enlace al hardware)
  • Bloqueo UEFI (preferido: evita que el atacante se deshabilite con un simple cambio de clave de registro)

Si desea habilitar la protección de credenciales en máquinas virtuales donde el riesgo de movimiento lateral puede ser mayor, los requisitos de hardware adicionales incluyen:

  • CPU de 64 bits
  • Extensiones de virtualización de CPU más tablas de páginas extendidas
  • Windows Hypervisor

Windows 10 1511 introdujo la capacidad de habilitar Credential Guard utilizando el registro para permitirle desactivar Credential Guard de forma remota.

Seguridad de la política de grupo

Windows 10 1703 introdujo una nueva política de seguridad específicamente para hacer que el nombre de usuario sea más privado durante el inicio de sesión. Inicio de sesión interactivo: no mostrar nombre de usuario al iniciar sesión permite un control más detallado sobre el proceso de inicio de sesión.

Windows Hello para hacer negocios

Windows 10 1703 introdujo la posibilidad de restablecer un PIN olvidado sin perder datos de perfil. Windows 10 1607 combinó las tecnologías de Microsoft Passport y Windows Hello.

Actualización de Windows for business

La instalación de la actualización de funciones puede diferirse en 365 días, un aumento respecto de los 180 días previos permitidos.

Red privada virtual (VPN)

Windows 10 1607 permitió que el cliente VPN se integrara con el Conditional Access Framework, y puede integrarse con la política de protección de información de Windows para mayor seguridad.

Applocker

Windows 10 1507 introdujo un nuevo parámetro que le permite elegir si las reglas ejecutables y DLL se aplicarán a los procesos no interactivos.

BitLocker

BitLocker recibió nuevas características en Windows 10 1511 que incluyen mejoras en el algoritmo de cifrado XTS-AES para protegerse mejor de los ataques al cifrado que utilizan la manipulación de textos de cifrado. Windows 10 1507 introdujo la capacidad de encriptar y recuperar un dispositivo con Azure Active Directory.

Auditoría de Windows 10

Windows 10 Versión 1507 agregó más eventos de auditoría y campos incrementados para seguir mejor los procesos y eventos.