La actualización de octubre de 2018 de Windows 10 incluye una nueva función de seguridad «Bloquear comportamientos sospechosos». Esta protección está desactivada de forma predeterminada, pero puede habilitarla para proteger su PC de una variedad de amenazas.
¿Qué hace “Bloquear comportamientos sospechosos”?
Esta característica tiene un nombre bastante vago. Sin embargo, la documentación de Microsoft aclara que «Bloquear comportamientos sospechosos» es solo un nombre descriptivo para la «tecnología de reducción de la superficie de ataque de Windows Defender Exploit Guard». Esta característica de seguridad se introdujo en Fall Creators Update , pero solo estaba disponible en Windows 10 Enterprise . En la actualización de octubre de 2018, ahora está disponible para todos a través de una opción en Seguridad de Windows.
Cuando habilita esta función, Windows 10 activa una variedad de reglas de seguridad. Estas reglas deshabilitan las funciones que normalmente solo usa el malware, lo que ayuda a proteger su PC de ataques.
Estas son algunas de las reglas de reducción de la superficie de ataque:
- Bloquear el contenido ejecutable del cliente de correo electrónico y el correo web
- Impedir que las aplicaciones de Office creen procesos secundarios
- Impedir que las aplicaciones de Office creen contenido ejecutable
- Impedir que las aplicaciones de Office inyecten código en otros procesos
- Bloquear JavaScript o VBScript para que no inicien contenido ejecutable descargado
- Bloquear la ejecución de scripts potencialmente ofuscados
- Bloquear llamadas a la API de Win32 desde la macro de Office
- Bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows (lsass.exe)
- Bloquear creaciones de procesos que se originan a partir de comandos PSExec y WMI
- Bloquear procesos no confiables y sin firmar que se ejecutan desde USB
- Impedir que las aplicaciones de comunicación de Office creen procesos secundarios
Estas son acciones sospechosas que pueden ser utilizadas por aplicaciones maliciosas. Por ejemplo, estas reglas bloquean los archivos ejecutables que llegan por correo electrónico, evitan que las aplicaciones de Office hagan cosas específicas y detienen los comportamientos de macro peligrosos . Con estas reglas habilitadas, Windows protege las credenciales contra el robo, detiene la ejecución de ejecutables sospechosos en unidades USB y se niega a ejecutar scripts que parecen disfrazados para sortear el software antivirus.
Encontrará una lista completa de las reglas de reducción de la superficie de ataque en el sitio de soporte de Microsoft. Las organizaciones pueden personalizar las reglas que se utilizan a través de la política de grupo , pero las PC de consumo promedio obtienen un conjunto de reglas único para todos. No está claro exactamente qué reglas se utilizan cuando habilita esta opción en Seguridad de Windows.
Esto es parte de Windows Defender Exploit Guard
Attack Surface Reduction es parte de Windows Defender Exploit Guard , que también incluye Protección contra exploits, Protección de red y Acceso controlado a carpetas .
Eso es importante aclarar: «Bloquear comportamientos sospechosos» no es la misma función que Protección contra exploits , que protege su PC contra una variedad de técnicas comunes de exploits. Por ejemplo, Exploit Protection protege contra las técnicas comunes de explotación de memoria utilizadas por los ataques de día cero y finaliza cualquier proceso que las utilice. Exploit Protection funciona como el software Enhanced Mitigation Experience Toolkit (EMET) de Microsoft . Attack Surface Reduction deshabilita funciones potencialmente peligrosas en un nivel superior.
La protección contra exploits está habilitada de forma predeterminada y puede modificarla desde cualquier otro lugar de la aplicación de seguridad de Windows. La reducción de superficie de ataque, o «Bloquear comportamientos sospechosos», aún no está habilitada de forma predeterminada.
Cómo habilitar «Bloquear comportamientos sospechosos»
Puede habilitar esta función desde la aplicación de seguridad de Windows, anteriormente denominada Centro de seguridad de Windows Defender.
Para encontrarlo, diríjase a Configuración> Actualización y seguridad> Seguridad de Windows> Abrir seguridad de Windows o simplemente ejecute el acceso directo «Seguridad de Windows» desde su menú Inicio.
Haga clic en la opción «Protección contra virus y amenazas», y luego haga clic en el enlace «Administrar configuración» en la sección «Configuración de protección contra virus y amenazas».
Haga clic en el interruptor debajo de «Bloquear comportamientos sospechosos» para activar o desactivar esta función.
Si Bloquear comportamientos sospechosos bloquea una acción que debe realizar con regularidad, puede volver aquí y desactivarla. Sin embargo, los comportamientos bloqueados no son comunes en el uso normal de PC.
