Device Guard en Windows 10 mantiene el malware fuera

Device Guard en Windows 10 es un firmware que no permite la carga de programas no autorizados, no firmados, no autorizados, así como sistemas operativos. Ya hemos hablado de cómo necesitamos un sistema operativo que realice autocomprobaciones de todo lo que se le alimenta y se carga en su RAM para su ejecución. Depender solo de un software antimalware no es una cosa inteligente en estos días, aunque no tenemos muchas opciones. Un antimalware es una aplicación independiente y debe cargarse en la memoria, antes de comenzar a escanear las aplicaciones que se cargan en la memoria..

Anteriormente habíamos hablado de cómo Windows 8.1 es un sistema operativo antimalware. Actúa sobre sí mismo y sobre otras aplicaciones para ver si son aplicaciones genuinas requeridas por la computadora, mucho antes de cargar la interfaz, de modo que se agrega un nivel de seguridad a las computadoras donde se ejecuta. En definitiva, proporciona Arranque de confianza, un servicio de protección contra malware de tiempo de arranque para mantener el malware a raya. Pero los creadores de malware son inteligentes y pueden usar ciertas técnicas para evitar esta inspección. Por lo tanto, Microsoft ha incorporado otra característica que promete medidas antimalware más duras durante el arranque..

Device Guard en Windows 10

A medida que aumentan las preocupaciones de seguridad, Microsoft ahora está incorporando un firmware que actuará a nivel de hardware durante e incluso antes del inicio, para permitir que solo se carguen las aplicaciones y los scripts debidamente firmados. Esto se llama Windows Device Guard y los fabricantes de equipos originales están felices de instalarlo en las computadoras que fabrican.

Device Guard es una de las principales características de seguridad de Microsoft en Windows 10. OEM como Acer, Fujitsu, HP, NCR, Lenovo, PAR y Toshiba también lo han respaldado.

Device Guard es una combinación de características de seguridad de hardware y software que, cuando se configuran juntas, bloquearán un dispositivo para que solo pueda ejecutar aplicaciones confiables. Utiliza la nueva seguridad basada en virtualización en Windows 10 para aislar el servicio de integridad de código del propio kernel de Windows, lo que permite que el servicio use firmas definidas por su política controlada por la empresa para ayudar a determinar qué es confiable..

La función básica de Device Guard en Windows 10 sería probar cada proceso que se carga en la memoria para su ejecución, antes y durante el proceso de arranque. Comprobaría la autenticidad, basándose en las firmas adecuadas de las aplicaciones y evitaría que cualquier proceso que carezca de una firma adecuada, se cargue en la memoria.

Device Guard de Microsoft emplea tecnología incorporada en el nivel de hardware, en lugar de estar en el nivel de software, lo que podría dejar de detectar malware. También emplea la virtualización para llevar el proceso de toma de decisiones adecuado, que le dirá a la computadora qué debe permitir y qué evitar que se cargue en la memoria. Este aislamiento evitará el malware, incluso si el atacante tiene control total de los sistemas donde está instalado el guardia. Pueden intentarlo, pero no podrán ejecutar el código, ya que la Guardia tiene sus propios algoritmos que bloquearán la ejecución del malware..

Dice Microsoft:

Esto le da una ventaja significativa sobre las tecnologías tradicionales de control de antivirus y aplicaciones como AppLocker, Bit9 y otras que están sujetas a manipulación por parte de un administrador o malware..

Device Guard vs Software Antivirus

Los usuarios de Windows todavía necesitarán instalar software antimalware para que se ejecuten en sus dispositivos para el malware que se origina en otras fuentes. La única cosa contra la que Windows Device Guard lo protegerá es el malware que intenta cargar en la memoria durante el arranque, antes de que el software antivirus pueda protegerlo..

Dado que es posible que el nuevo Device Guard no pueda acceder a macros en documentos y malware basado en scripts, Microsoft dice que los usuarios tendrán que usar software antimalware además de Guard. Windows ahora tiene antimalware incorporado llamado Windows Defender. Puede depender de ello o usar un antimalware de terceros para protegerse mejor.

¿Device Guard permite otros sistemas operativos?

La Guardia de Windows permitirá que solo las aplicaciones pre-aprobadas sean procesadas durante el tiempo de arranque. Los desarrolladores de TI pueden optar por permitir que todas las aplicaciones sean de un proveedor de confianza o pueden configurarlo para que verifique la aprobación de cada aplicación. Independientemente de la configuración, Windows Guard solo permitirá que se ejecuten las aplicaciones aprobadas. En la mayoría de los casos, las aplicaciones aprobadas se decidirán mediante la firma del desarrollador de la aplicación..

Esto le da un giro a las opciones de arranque. Aquellos sistemas operativos que no tengan firmas digitales verificadas no podrán ser cargados por el Guardia de Windows. Sin embargo, no se necesita mucho para obtener una aplicación o sistema operativo para obtener la certificación.

Hardware y software necesarios para Device Guard

Para usar Device Guard, debe instalar y configurar el siguiente hardware y software:

1. Windows 10. Device Guard solo funciona con dispositivos que ejecutan Windows 10.
2. UEFI. Incluye una función llamada Arranque seguro que ayuda a proteger la integridad de su dispositivo dentro del propio firmware..
3. Arranque de confianza. Es un cambio arquitectónico que ayuda a proteger contra ataques de rootkit..
4. Seguridad basada en la virtualización. Un contenedor protegido de Hyper-V que aísla los procesos sensibles de Windows 10. T
5. Herramienta de inspector de paquetes. Una herramienta que le ayuda a crear un catálogo de los archivos que requieren la firma para las aplicaciones de Windows Classic.

Puede leer más sobre esto en TechNet.

Dedique algo de tiempo para leer sobre Enterprise Data Protection en Windows 10.