Información general sobre Device Guard

Device Guard es una combinación de características de seguridad de hardware y software relacionadas con la empresa que, configuradas conjuntamente, bloquean un dispositivo para que solo pueda ejecutar aplicaciones de confianza. Si la aplicación no es de confianza, no se podrá ejecutar. Esto también significa que incluso si un atacante consigue controlar el kernel de Windows, es mucho menos probable que pueda ejecutar código malintencionado después de que el equipo se reinicie debido a la forma en que se toman las decisiones sobre qué se puede ejecutar y en qué momento.

Device Guard usa la nueva seguridad basada en virtualización de Windows 10 Enterprise para aislar el servicio de integridad de código del propio kernel de Microsoft Windows, lo que permite al servicio usar firmas definidas por la directiva controlada por la empresa para determinar qué es de confianza. De hecho, el servicio Integridad de código se ejecuta en el kernel en un contenedor de Windows protegido por hipervisor.

Para obtener más información sobre cómo implementar Device Guard, consulta Guía de implementación de Device Guard.

Razones para usar Device Guard

Teniendo en cuenta que cada día se crean miles de archivos malintencionados nuevos, el uso de métodos tradicionales como la detección basada en firmas para luchar contra el malware proporciona una defensa inadecuada ante ataques nuevos. En Windows 10 Enterprise, Device Guard cambia de un modo en que las aplicaciones son de confianza, a menos que las bloquee el antivirus u otras soluciones de seguridad, a un modo en que el sistema operativo solo confía en las aplicaciones autorizadas por la empresa.

Device Guard también protege contra ataques de día cero y funciona para combatir los desafíos de virus polimórficos.

Ventajas de usar Device Guard

Puedes sacar provecho de las ventajas de Device Guard en función de lo que activas y usas:

  • Ofrece protección segura contra malware con capacidad de administración empresarial
  • Proporciona la protección contra malware más avanzada que nunca que se ofrece en la plataforma de Windows
  • Ofrece resistencia mejorada contra alteraciones

Cómo funciona Device Guard

Device Guard restringe el sistema operativo Windows 10 Enterprise para que ejecute solamente código que esté firmado por los firmantes de confianza definidos en la directiva de integridad de código mediante configuraciones de seguridad y hardware concretas como las siguientes:

  • Integridad de código de modo usuario (UMCI)

  • Nuevas reglas de integridad de código del kernel [incluidas las restricciones de firma de los Laboratorios de calidad de hardware de Windows (WHQL)]

  • Arranque seguro con restricciones de base de datos (db/dbx)

  • Seguridad basada en la virtualización para proteger la memoria del sistema y los controladores y las aplicaciones en modo kernel contra posibles alteraciones.

  • Opcional: Módulo de plataforma segura (TPM) 1.2 o 2.0

Device Guard funciona con el proceso de creación de imágenes para que puedas activar la característica de seguridad basada en virtualización en los dispositivos compatibles, configurar la directiva de integridad de código y establecer otras opciones de configuración del sistema operativo necesarias en Windows 10 Enterprise. Después, Device Guard funciona para proteger tus dispositivos:

  1. El dispositivo se inicia con el arranque seguro de UEFI (interfaz de firmware extensible universal) para que no se puedan ejecutar kits de arranque y para que Windows 10 Enterprise se inicie antes que nada.

  2. Después de iniciar de forma segura los componentes de arranque de Windows, Windows 10 Enterprise puede iniciar los servicios de seguridad basada en virtualización de Hyper-V, que incluyen la integridad de código en modo kernel. Estos servicios protegen el núcleo del sistema (kernel), los controladores con privilegios y las defensas del sistema, como las soluciones antimalware, e impiden que se ejecute malware desde el principio en el proceso de arranque o en el kernel después del inicio.

  3. Device Guard usa UMCI para asegurarse de que todo lo que se ejecuta en modo usuario, como un servicio, una aplicación de la Plataforma universal de Windows (UWP) o una aplicación clásica de Windows es de confianza, permitiendo solamente la ejecución de binarios de confianza.

  4. Al mismo tiempo que se inicia Windows 10 Enterprise, también se inicia el Módulo de plataforma segura (TPM). TPM proporciona un componente de hardware aislado que protege la información confidencial, como las credenciales de usuario y los certificados.

Software y hardware necesario

La siguiente tabla muestra el hardware y software necesarios para instalar, configurar e implementar Device Guard.

RequisitosDescripción

Windows 10 Enterprise

El equipo debe ejecutar Windows 10 Enterprise.

Firmware UEFI versión 2.3.1 o posterior y arranque seguro

Para comprobar que el firmware está usando la versión UEFI 2.3.1 o posteriores y el arranque seguro, puedes validarlo con respecto al requisito del programa de compatibilidad de hardware de Windows System.Fundamentals.Firmware.CS.UEFISecureBoot.ConnectedStandby.

Extensiones de virtualización

Las siguientes extensiones de virtualización son necesarias para admitir la seguridad basada en la virtualización:

  • Intel VT-x o AMD-V
  • Traducción de direcciones de segundo nivel

Bloqueo de firmware

La configuración de firmware se debe bloquear para evitar que otros sistemas operativos se inicien y para evitar cambios en la configuración de UEFI. También debes deshabilitar los métodos de arranque excepto desde el disco duro.

Arquitectura x64

Las características que usa la seguridad basada en la virtualización en el hipervisor de Windows solo pueden ejecutarse en un equipo de 64 bits.

Un VT-d o AMD Vi IOMMU (unidad de administración de memoria de entrada y salida)

En Windows 10, un IOMMU mejora la resistencia del sistema contra los ataques a la memoria. ¹

Proceso de actualización segura de firmware

Para comprobar que el firmware cumple el proceso de actualización segura de firmware, puedes validarlo con respecto al requisito del programa de compatibilidad de hardware de Windows System.Fundamentals.Firmware.UEFISecureBoot.

 

Antes de usar Device Guard en la empresa

Antes de poder usar correctamente Device Guard, debes configurar el entorno y las directivas.

Firma de las aplicaciones

El modo Device Guard admite aplicaciones para UWP aplicaciones clásicas de Windows. La confianza Device Guard y las aplicaciones se produce cuando las aplicaciones están firmadas con una firma que consideras de confianza. No funcionará cualquier firma.

Esta firma se puede realizar mediante:

  • El proceso de publicación de la Tienda Windows. Todas las aplicaciones que provienen de Microsoft Store se firman automáticamente con firmas especiales que se pueden implementar en nuestra entidad de certificación (CA) o en la tuya.

  • Tu propio certificado digital o infraestructura de clave pública (PKI). Los ISV y las empresas pueden firmar sus propias aplicaciones clásicas de Windows y agregarse a sí mismos a la lista de firmantes de confianza.

  • Una entidad de firma que no es Microsoft. Los ISV y las empresas pueden usar una entidad de firma de confianza que no es Microsoft para firmar sus propias aplicaciones clásicas de Windows.

  • Un servicio web proporcionado por Microsoft (disponible este año más adelante). Las ISV y las empresas podrán usar un servicio web proporcionado por Microsoft más seguro para firmar sus aplicaciones clásicas de Windows.

Directiva de Integridad de código

Antes de poder usar la protección de aplicaciones incluida en Device Guard, debes crear una directiva de Integridad de código con las herramientas proporcionadas por Microsoft, pero implementadas con tus herramientas de administración actuales, como la directiva de grupo. La directiva de integridad de código es un documento XML con codificación binaria que incluye opciones de configuración para los modos usuario y kernel de Windows 10 Enterprise, junto con restricciones sobre los hosts de scripts de Windows 10. Esta directiva restringe el código que se puede ejecutar en un dispositivo.

Para la característica Device Guard, los dispositivos solo deben tener la integridad de código preconfigurada si el cliente proporciona la configuración para una imagen proporcionada por el cliente.

Nota  Este documento XML se puede firmar en Windows 10 Enterprise, lo cual ofrece protección adicional contra la modificación o la eliminación de esta directiva por parte de los usuarios administrativos.
 

Seguridad basada en virtualización con el hipervisor de Windows 10 Enterprise

El hipervisor de Windows 10 Enterprise presenta nuevas funcionalidades en torno a los niveles de confianza virtual, lo que permite a los servicios de Windows 10 Enterprise ejecutarse en un entorno protegido de manera aislada del sistema operativo en ejecución. La seguridad basada en virtualización de Windows 10 Enterprise protege la integridad de código del kernel y facilita el aislamiento de las credenciales de la entidad de seguridad local (LSA). Permitir que el servicio de Integridad de código del kernel se ejecute como un servicio hospedado por un hipervisor aumenta el nivel de protección en torno al sistema operativo raíz y agrega protección adicional contra malware que pone en peligro la capa del kernel.

Importante  Los dispositivos Device Guard que ejecutan la Integridad de código del kernel con seguridad basada en virtualización deben tener controladores compatibles (los controladores heredados pueden actualizarse) y todas las funcionalidades de virtualización activadas. Esto incluye la compatibilidad con extensiones de virtualización y la unidad de administración de memoria de entrada y salida (IOMMU).
 

 

 

Mostrar: