Tabla de contenidos
La actualización de Windows 10 de abril de 2018 ofrece a todos las funciones de seguridad de «Aislamiento del núcleo» e «Integridad de la memoria». Estos utilizan seguridad basada en virtualización para proteger los procesos centrales de su sistema operativo contra alteraciones, pero la Protección de memoria está desactivada de manera predeterminada para las personas que actualizan.
¿Qué es el aislamiento del núcleo?
En la versión original de Windows 10, las funciones de seguridad basada en virtualización (VBS) solo estaban disponibles en las ediciones Enterprise de Windows 10 como parte de «Device Guard». Con la actualización de abril de 2018, Core Isolation trae algunas características de seguridad basadas en la virtualización a todas las ediciones de Windows 10.
Algunas funciones de Core Isolation están habilitadas de forma predeterminada en las PC con Windows 10 que cumplen con ciertos requisitos de hardware y firmware , incluido tener una CPU de 64 bits y un chip TPM 2.0 . También requiere que su PC sea compatible con la tecnología de virtualización Intel VT-x o AMD-V, y que esté habilitada en la configuración UEFI de su PC .
Cuando estas funciones están habilitadas, Windows usa funciones de virtualización de hardware para crear un área segura de la memoria del sistema que está aislada del sistema operativo normal. Windows puede ejecutar procesos del sistema y software de seguridad en esta área segura. Esto protege los procesos importantes del sistema operativo de ser manipulados por cualquier cosa que se ejecute fuera del área segura.
Incluso si el malware se está ejecutando en su PC y conoce un exploit que debería permitirle descifrar estos procesos de Windows, la seguridad basada en la virtualización es una capa adicional de protección que los aislará de los ataques.
¿Qué es la integridad de la memoria?
La función conocida como «Integridad de la memoria» en la interfaz de Windows 10 también se conoce como «Integridad del código protegido por hipervisor» (HVCI) en la documentación de Microsoft.
La integridad de la memoria está deshabilitada de forma predeterminada en las PC que se actualizaron a la actualización de abril de 2018, pero puede habilitarla. Se habilitará de forma predeterminada en nuevas instalaciones de Windows 10 en el futuro.
Esta característica es un subconjunto de Core Isolation. Windows normalmente requiere firmas digitales para los controladores de dispositivos y otro código que se ejecuta en modo kernel de Windows de bajo nivel. Esto asegura que no hayan sido manipulados por malware. Cuando la «Integridad de la memoria» está habilitada, el «servicio de integridad del código» en Windows se ejecuta dentro del contenedor protegido por hipervisor creado por Core Isolation. Esto debería hacer que sea casi imposible que el malware altere las comprobaciones de integridad del código y obtenga acceso al kernel de Windows.
Problemas de la máquina virtual
Dado que Memory Integrity utiliza el hardware de virtualización del sistema, es incompatible con programas de máquinas virtuales como VirtualBox o VMware. Solo una aplicación puede usar este hardware a la vez.
Es posible que vea un mensaje que dice que Intel VT-X o AMD-V no están habilitados o disponibles si instala un programa de máquina virtual en un sistema con la Integridad de memoria habilitada. En VirtualBox, puede ver el mensaje de error «El modo sin formato no está disponible por cortesía de Hyper-V» mientras la Protección de memoria está habilitada.
De cualquier manera, si encuentra un problema con el software de su máquina virtual, debe deshabilitar la Integridad de la memoria para usarlo.
¿Por qué está deshabilitado por defecto?
La función principal de aislamiento del núcleo no debería causar ningún problema. Está habilitado en todas las PC con Windows 10 que pueden admitirlo y no hay una interfaz para deshabilitarlo.
Sin embargo, la protección de integridad de la memoria puede causar problemas con algunos controladores de dispositivos u otras aplicaciones de Windows de bajo nivel, por lo que está deshabilitada de forma predeterminada en las actualizaciones. Microsoft sigue presionando a los desarrolladores y fabricantes de dispositivos para que hagan compatibles sus controladores y software, razón por la cual está habilitado de forma predeterminada en las nuevas PC y las nuevas instalaciones de Windows 10.
Si uno de los controladores que su PC requiere para arrancar es incompatible con la Protección de memoria, Windows 10 desactivará la Protección de memoria silenciosamente para garantizar que su PC pueda arrancar y funcionar correctamente. Entonces, si intenta habilitarlo y reiniciar solo para descubrir que todavía está deshabilitado, es por eso.
Si tiene problemas con otros dispositivos o un software que funciona mal después de habilitar la Protección de memoria, Microsoft recomienda buscar actualizaciones con la aplicación o el controlador específicos. Si no hay actualizaciones disponibles, desactive la Protección de memoria.
Como mencionamos anteriormente, Memory Integrity también será incompatible con algunas aplicaciones que requieren acceso exclusivo al hardware de virtualización del sistema, como los programas de máquinas virtuales. Otras herramientas, incluidos algunos depuradores, también requieren acceso exclusivo a este hardware y no funcionarán con Memory Integrity habilitado.
Cómo habilitar la integridad de la memoria de aislamiento del núcleo
Puede ver si su PC tiene habilitadas las funciones de Core Isolation y activar o desactivar la Protección de memoria desde la aplicación Centro de seguridad de Windows Defender. (Esta herramienta pasará a llamarse «Seguridad de Windows» como parte de la actualización de octubre de 2018 ).
Para abrirlo, busque «Centro de seguridad de Windows Defender» en su menú Inicio o diríjase a Configuración> Actualización y seguridad> Seguridad de Windows> Abrir Centro de seguridad de Windows Defender.
Haga clic en el icono «Seguridad del dispositivo» en el Centro de seguridad.
Si Core Isolation está habilitado en el hardware de su PC, verá el mensaje «La seguridad basada en virtualización se está ejecutando para proteger las partes principales de su dispositivo» aquí.
Para habilitar (o deshabilitar) la protección de memoria, haga clic en el enlace «Detalles de aislamiento del núcleo».
Esta pantalla le muestra si la Integridad de la memoria está habilitada o no. Esa es la única opción aquí por ahora.
Para habilitar la integridad de la memoria, coloque el interruptor en «Activado». Si encuentra problemas con la aplicación o el dispositivo y necesita deshabilitar la Integridad de la memoria, regrese aquí y coloque el interruptor en «Apagado».
Se le pedirá que reinicie su computadora y el cambio solo tendrá efecto una vez que lo haya hecho.
Más características de Windows Defender Exploit Guard
El aislamiento del núcleo y la integridad de la memoria son algunas de las muchas características de seguridad nuevas que Microsoft ha agregado como parte de Windows Defender Exploit Guard. Esta es una colección de características diseñadas para proteger Windows contra ataques.
La protección contra exploits , que protege su sistema operativo y sus aplicaciones de muchos tipos de exploits, está habilitada de forma predeterminada. Esto reemplaza la antigua herramienta EMET de Microsoft e incluye funciones anti-exploit para las que recomendamos instalar Malware Anti-Exploit . Todos los usuarios de Windows 10 ahora tienen protección contra exploits.
También hay acceso controlado a carpetas , que protege sus archivos del ransomware. No está habilitado de forma predeterminada porque requiere alguna configuración. Si habilita esta función, tendrá que permitir el acceso de las aplicaciones antes de que puedan acceder a los archivos de sus carpetas de archivos personales.
Going forward, Memory Integrity will be enabled by default on all new PCs, providing additional protection against attacks. Only advanced users who use virtual machine software and other tools that require access to the system virtualization hardware will have to disable it.
