¿Qué son el Aislamiento del núcleo y la Integridad de la memoria en Windows 10?
La actualización de abril de 2018 de Windows 10 ofrece funciones de seguridad de "Aislamiento del núcleo" y "Integridad de la memoria" para todos. Estos utilizan seguridad basada en la virtualización para proteger los procesos de su sistema operativo central de manipulación, pero la Protección de la memoria está desactivada de forma predeterminada para las personas que actualizan.
¿Qué es el aislamiento del núcleo?
En la versión original de Windows 10, las funciones de seguridad basada en virtualización (VBS) solo estaban disponibles en las ediciones Enterprise de Windows 10 como parte de "Device Guard". Con la actualización de abril de 2018, Core Isolation ofrece algunas características de seguridad basadas en virtualización para todos ediciones de Windows 10.
Algunas funciones de Aislamiento del núcleo están habilitadas de manera predeterminada en las PC con Windows 10 que cumplen con ciertos requisitos de hardware y firmware, incluyendo tener una CPU de 64 bits y un chip TPM 2.0. También requiere que su PC sea compatible con la tecnología de virtualización Intel VT-x o AMD-V, y que esté habilitada en la configuración UEFI de su PC.
Cuando estas funciones están habilitadas, Windows usa funciones de virtualización de hardware para crear un área segura de la memoria del sistema que está aislada del sistema operativo normal. Windows puede ejecutar procesos del sistema y software de seguridad en esta área segura. Esto evita que los procesos importantes del sistema operativo sean manipulados por cualquier cosa que se ejecute fuera del área segura.
Incluso si el malware se está ejecutando en su PC y conoce una vulnerabilidad que debería permitirle resolver estos procesos de Windows, la seguridad basada en la virtualización es una capa adicional de protección que los aislará del ataque.
¿Qué es la integridad de la memoria?
La función conocida como "Integridad de la memoria" en la interfaz de Windows 10 también se conoce como "Integridad del código protegido por hipervisor" (HVCI) en la documentación de Microsoft.
La integridad de la memoria está desactivada de manera predeterminada en las PC que se actualizaron a la actualización de abril de 2018, pero puede habilitarla. Se habilitará de forma predeterminada en las nuevas instalaciones de Windows 10 en adelante..
Esta característica es un subconjunto de Core Isolation. Normalmente, Windows requiere firmas digitales para los controladores de dispositivos y otros códigos que se ejecutan en el modo de kernel de Windows de bajo nivel. Esto asegura que no hayan sido manipulados por malware. Cuando la "Integridad de la memoria" está habilitada, el "servicio de integridad de código" en Windows se ejecuta dentro del contenedor protegido por hipervisor creado por Core Isolation. Esto debería hacer que sea casi imposible para el malware manipular las comprobaciones de integridad del código y obtener acceso al kernel de Windows.
Problemas de máquinas virtuales
Como Memory Integrity utiliza el hardware de virtualización del sistema, es incompatible con los programas de máquinas virtuales como VirtualBox o VMware. Solo una aplicación puede usar este hardware a la vez.
Puede ver un mensaje que dice que Intel VT-X o AMD-V no está habilitado o disponible si instala un programa de máquina virtual en un sistema con la integridad de la memoria habilitada. En VirtualBox, puede ver el mensaje de error "El modo Raw no está disponible por cortesía de Hyper-V" mientras la Protección de memoria está habilitada.
De cualquier manera, si encuentra un problema con el software de su máquina virtual, debe desactivar la integridad de la memoria para usarlo.
¿Por qué está deshabilitado por defecto?
La función principal de aislamiento del núcleo no debería causar ningún problema. Está habilitado en todas las PC con Windows 10 que pueden admitirlo, y no hay interfaz para desactivarlo.
Sin embargo, la protección de la integridad de la memoria puede causar problemas con algunos controladores de dispositivo u otras aplicaciones de Windows de bajo nivel, por lo que está desactivada de forma predeterminada en las actualizaciones. Microsoft sigue presionando a los desarrolladores y fabricantes de dispositivos para que hagan compatibles sus controladores y software, por lo que está habilitado de forma predeterminada en las nuevas PC y las nuevas instalaciones de Windows 10.
Si uno de los controladores que su PC necesita para iniciar es incompatible con la Protección de memoria, Windows 10 desactivará silenciosamente la Protección de memoria para garantizar que su PC pueda iniciarse y funcionar correctamente. Por lo tanto, si intenta habilitarlo y reiniciar solo para encontrar que todavía está deshabilitado, es por eso que.
Si encuentra problemas con otros dispositivos o software defectuoso después de habilitar la Protección de memoria, Microsoft recomienda verificar las actualizaciones con la aplicación o el controlador específico. Si no hay actualizaciones disponibles, desactive la Protección de memoria.
Como mencionamos anteriormente, la integridad de la memoria también será incompatible con algunas aplicaciones que requieren acceso exclusivo al hardware de virtualización del sistema, como los programas de máquinas virtuales. Otras herramientas, incluidos algunos depuradores, también requieren acceso exclusivo a este hardware y no funcionarán con la integridad de memoria habilitada.
Cómo habilitar la integridad de la memoria de aislamiento del núcleo
Puede ver si su PC tiene habilitadas las funciones de Aislamiento del núcleo y activar o desactivar la Protección de la memoria desde la aplicación Windows Defender Security Center. (Esta herramienta se llamará "Seguridad de Windows" como parte de la Actualización de octubre de 2018).
Para abrirlo, busque "Windows Defender Security Center" en su menú de Inicio o diríjase a Configuración> Actualización y seguridad> Seguridad de Windows> Abrir Windows Defender Security Center.
Haga clic en el icono "Seguridad del dispositivo" en el Centro de seguridad.
Si Core Isolation está habilitado en el hardware de su PC, verá el mensaje "La seguridad basada en la virtualización se está ejecutando para proteger las partes principales de su dispositivo" aquí.
Para habilitar (o deshabilitar) la Protección de la memoria, haga clic en el enlace "Detalles de aislamiento del núcleo".
Esta pantalla le muestra si la integridad de la memoria está habilitada o no. Esa es la única opción aquí por ahora..
Para habilitar la integridad de la memoria, mueva el interruptor a "On". Si encuentra problemas con la aplicación o el dispositivo y necesita deshabilitar la integridad de la memoria, regrese aquí y gire el interruptor a "Off".
Se le pedirá que reinicie su computadora, y el cambio solo tendrá efecto una vez que lo haya hecho..
Más características de Windows Defender Exploit Guard
El aislamiento del núcleo y la integridad de la memoria son algunas de las muchas nuevas características de seguridad que Microsoft ha agregado como parte de Windows Defender Exploit Guard. Esta es una colección de características diseñadas para proteger Windows contra ataques..
La protección contra explotaciones, que protege su sistema operativo y aplicaciones de muchos tipos de explotaciones, está habilitada de forma predeterminada. Esto reemplaza la antigua herramienta EMET de Microsoft, e incluye funciones anti-exploit que previamente recomendamos para instalar Malware Anti-Exploit. Todos los usuarios de Windows 10 ahora tienen protección contra exploits.
También hay acceso controlado a carpetas, que protege sus archivos del ransomware. No está habilitado de forma predeterminada porque requiere alguna configuración. Si habilita esta función, deberá permitir el acceso a las aplicaciones antes de que puedan acceder a los archivos en sus carpetas de archivos personales..
En adelante, la integridad de la memoria se habilitará de forma predeterminada en todas las PC nuevas, brindando protección adicional contra ataques. Solo los usuarios avanzados que usan software de máquinas virtuales y otras herramientas que requieren acceso al hardware de virtualización del sistema tendrán que desactivarlo.