Device Guard en Windows 10 mantiene el malware a raya

Device Guard en Windows 10 es un firmware que no permite la carga de programas no autenticados, no firmados, no autorizados ni de sistemas operativos. Ya hemos hablado acerca de cómo necesitamos un sistema operativo que realice autoverificaciones sobre todo lo que se está alimentando y cargando en su RAM para su ejecución. Depender solo de un software anti-malware no es una buena idea en estos días, aunque no tenemos muchas opciones. Un antimalware es una aplicación separada que debe cargarse en la memoria antes de que comience a analizar las aplicaciones que se cargan en la memoria.

Anteriormente hablamos sobre cómo Windows 8.1 es un sistema operativo antimalware. Actúa sobre sí mismo y sobre otras aplicaciones para ver si son aplicaciones originales requeridas por la computadora, mucho antes de cargar la interfaz, de modo que se agrega un nivel de seguridad a las computadoras donde se está ejecutando. En resumen, proporciona Trusted Boot , un servicio de protección contra malware para el arranque para mantener el malware a raya. Pero los escritores de malware son inteligentes y pueden usar ciertas técnicas para eludir esta inspección. Microsoft ha introducido otra característica que promete medidas antimalware más estrictas durante el arranque.

Device Guard en Windows 10

Con las preocupaciones de seguridad aumentando, Microsoft ahora trae un firmware que actuará en el nivel de hardware durante e incluso antes del inicio, para permitir que solo se carguen las aplicaciones y scripts firmados correctamente. Esto se llama Windows Device Guard y los OEM están felices de instalarlo en las computadoras que fabrican.

Device Guard es una de las principales características de seguridad de Microsoft en Windows 10. OEM como Acer, Fujitsu, HP, NCR, Lenovo, PAR y Toshiba también lo han respaldado.

Device Guard es una combinación de características de seguridad de hardware y software que, cuando se configuran juntas, bloquearán un dispositivo para que solo pueda ejecutar aplicaciones confiables. Utiliza la nueva seguridad basada en virtualización en Windows 10 para aislar el servicio Code Integrity del kernel de Windows, permitiendo que el servicio use firmas definidas por su política controlada por la empresa para ayudar a determinar qué es confiable.

La función básica del dispositivo Guard en Windows 10 sería probar cada proceso que se está cargando en la memoria para su ejecución, antes y durante el proceso de arranque. Verificaría la autenticidad, basada en las firmas adecuadas de las aplicaciones y evitará que cualquier proceso que carece de una firma adecuada, se cargue en la memoria.

Device Guard de Microsoft emplea tecnología incrustada en el nivel de hardware, en lugar de estar en el software nivel, que podría perder la detección de malware. También emplea la virtualización para llevar el proceso de toma de decisiones adecuado, que le dirá a la computadora qué permitir y qué evitar que se cargue en la memoria. Este aislamiento evitará el malware, incluso si el atacante tiene control total de los sistemas donde está instalado el protector. Pueden intentar, pero no podrán ejecutar el código, ya que el Guard tiene sus propios algoritmos que bloquearán la ejecución del malware.

Dice Microsoft:

Esto le da una ventaja significativa sobre el antivirus tradicional y tecnologías de control de aplicaciones como AppLocker, Bit9 y otras que están sujetas a manipulación por parte de un administrador o malware.

Device Guard vs Antivirus Software

Los usuarios de Windows necesitarán instalar un software antimalware para ejecutar en sus dispositivos en busca de malware originado de otras fuentes. Lo único contra lo que Windows Device Guard lo protegerá es contra el malware que intenta cargarse en la memoria durante el arranque, antes de que ese software antivirus pueda protegerlo.

Dado que el nuevo Device Guard puede no tener acceso a las macros en Documentos y malware basado en scripts, Microsoft dice que los usuarios deberán usar software antimalware además del Guard. Windows ahora tiene un antimalware incorporado llamado Windows Defender. Puede confiar en eso o usar un antimalware de terceros para protegerse mejor.

¿Device Guard permite otros sistemas operativos?

Windows Guard solo permitirá el procesamiento de aplicaciones preaprobadas durante el arranque. Los desarrolladores de TI pueden optar por permitir todas las aplicaciones por un proveedor confiable o pueden configurarlo para verificar cada aplicación para su aprobación. Independientemente de la configuración, Windows Guard solo permitirá ejecutar aplicaciones aprobadas. En la mayoría de los casos, las aplicaciones aprobadas se decidirán con la firma del desarrollador de la aplicación.

Esto le da un giro a las opciones de arranque. Los sistemas operativos que no tienen firmas digitales verificadas no serán permitidos por el Guardia de Windows para ser cargados. Sin embargo, no se necesita mucho para obtener una aplicación o sistema operativo para obtener la certificación.

Hardware y software necesarios para Device Guard

Para usar Device Guard, debe instalar y configurar el siguiente hardware y software:

1. Windows 10. Device Guard solo funciona con dispositivos con Windows 10.
2. UEFI. Incluye una característica llamada Secure Boot que ayuda a proteger la integridad de su dispositivo dentro del mismo firmware.
3. Trusted Boot. Es un cambio arquitectónico que ayuda a proteger contra los ataques de rootkits.
4. Seguridad basada en virtualización. Un contenedor protegido por Hyper-V que aísla los procesos sensibles de Windows 10. T
5. Herramienta de inspector de paquetes. Una herramienta que le ayuda a crear un catálogo de los archivos que requieren firma para las aplicaciones de Windows clásicas.

Puede leer más sobre esto en TechNet.

Ahorre algo de tiempo para leer sobre la protección de datos empresariales en Windows 10.