Llegamos a ustedes gracias a:



Noticias

Microsoft pone Application Guard for Office en vista previa pública

[10/09/2020] Microsoft ha lanzado un avance público de "Microsoft Defender Application Guard for Office", una tecnología de defensa que pone en cuarentena los documentos de Office no confiables, de modo que el código de ataque transportado por los archivos maliciosos no pueda llegar al sistema operativo o a sus aplicaciones.

El lunes, un ingeniero senior de ciberseguridad de la compañía Redmond, explicó cómo funcionaba Application Guard for Office y, lo que es más importante, guió a los clientes a través de su funcionamiento, algo que la documentación existente omitió cuando se lanzó la vista previa pública a finales del mes pasado.

"Microsoft Office abrirá los archivos de lugares potencialmente inseguros en Microsoft Defender Application Guard, un contenedor seguro, que está aislado del dispositivo a través de la virtualización basada en hardware", escribió John Barbare en una entrada de un blog de Microsoft. "Cuando Microsoft Office abre los archivos en Microsoft Defender Application Guard, un usuario puede entonces leer, editar, imprimir y guardar los archivos de forma segura sin tener que volver a abrir los archivos fuera del contenedor".

Application Guard tiene algo de historia. La característica debutó en el 2018 y fue diseñada originalmente para Edge, el navegador de Windows 10 de Microsoft. (Estamos hablando del Edge original aquí, el que usa las propias tecnologías de Microsoft, incluyendo el motor de renderizado EdgeHTML).

Application Guard crea una instancia desechable tanto de Windows como de Edge -versiones muy condensadas del sistema operativo y del navegador- en un entorno virtualizado usando la tecnología HyperVisor de Windows. Cada abertura entre la pseudo máquina, la máquina virtual y la real está bloqueada, lo que impide casi toda interacción entre la sesión web y el dispositivo físico.

Los usuarios pueden entonces navegar en un entorno más seguro porque evita que el malware llegue al sistema operativo real y a las aplicaciones reales del dispositivo real (en contraposición a la instancia virtual). Cuando el usuario termina, se descarta el Windows+Edge virtualizado. Piense en ello como una cuarentena muy brutal que borra al paciente si se enferma.

Funciona con Word, Excel y PowerPoint

Application Guard for Office funciona de manera muy similar, pero en lugar de proteger a Edge, aísla ciertos archivos abiertos en Word, Excel o PowerPoint. Los documentos obtenidos de Internet en general -dominios de la intranet o dominios que no han sido marcados como confiables-, los archivos de áreas potencialmente inseguras y los archivos adjuntos recibidos a través de Outlook se abren en un entorno virtualizado, o "sandbox", donde el código malicioso no puede causar estragos.

Para la vista previa pública, los clientes deben estar ejecutando Windows 10 Enterprise 2004 o posterior, el Office Beta Channel build 2008 16.0.13212 o posterior, esta actualización y una licencia para Microsoft 365 E5 (la edición más completa y más cara) o Microsoft 365 E5 Mobility + Security.

A diferencia de la muy antigua Vista Protegida, otra característica de defensa de Office, que abre documentos potencialmente peligrosos como solo de lectura, los archivos abiertos en Application Guard pueden ser manipulados. Pueden ser impresos, editados y guardados. Sin embargo, cuando se guardan, permanecen en el contenedor de aislamiento y cuando se vuelven a abrir más tarde, se ponen de nuevo en cuarentena en la sandbox.

Word, Excel o PowerPoint indican que el documento actual se ha abierto dentro de Application Guard con varias señales visuales, incluyendo un aviso emergente en la cinta de la aplicación y un ícono con una marca diferente en la barra de tareas de Windows.

Si el usuario decide confiar definitivamente en el documento -que puede ser el eslabón débil de las protecciones de Application Guard- puede sacarlo de la cuarentena y depositarlo en una carpeta local o de red. (Sin embargo, aquí se requieren confirmaciones, por lo que al menos se le pide al usuario que lo reconsidere antes de apretar el gatillo de la confianza).

Los administradores de TI pueden controlar mucho de esto, y más, a través de los ajustes de configuración de Application Guard, que van desde copiar-pegar (permitir/no permitir) e imprimir (limitarse a, por ejemplo, imprimir solo en formato PDF) hasta dificultar aún más a los empleados la apertura de un archivo fuera de Application Guard.

Paso a paso

La entrada del blog de Barbare debería ser valiosa tanto para los usuarios como para los administradores de TI.

Los trabajadores técnicamente experimentados podrían ser señalados a la entrada, tanto para los antecedentes de Application Guard como para el funcionamiento de la edición específica de Office ahora disponible como vista previa pública. (Esto supone que TI enciende Application Guard a través de una política de grupo o un comando de PowerShell). Armados con el puesto, podrían ser soltados sin ninguna ayuda.

Los administradores de TI que preparan sus cargos para el despliegue de Application Guard podrían usar el post de Barbare para construir documentos de ayuda y cómo distribuirlos a aquellos que usarán la función, volviendo a utilizar sus capturas de pantalla, por ejemplo, o usándolos como guía para elaborar instrucciones paso a paso específicas para la empresa.

(Hay varios bits de documentación de Application Guard en el sitio de Microsoft, pero lo mejor es este "Application Guard for Office (vista previa pública) para administradores", que también fue publicado el lunes).

Barbare no dijo cuándo Application Guard for Office terminará la vista previa pública y pasará a disponibilidad general para los usuarios de Windows 10 Enterprise y Microsoft 365 E5. (O quizás para otros también; Microsoft comenzó Application Guard como una característica exclusiva de Windows 10 Enterprise, pero luego lo expandió para incluir Windows 10 Pro).

La hoja de ruta de Microsoft, sin embargo, actualmente lista un lanzamiento para diciembre del 2020.