Aislamiento del núcleo es una característica de seguridad de Microsoft Windows que protege los procesos principales importantes de Windows contra el software malintencionado al aislarlos en la memoria. Para ello, ejecuta esos procesos principales en un entorno virtualizado.
Nota: Lo que ves en la página Aislamiento del núcleo puede variar un poco en función de la versión de Windows que estés ejecutando.
Integridad de memoria
Integridad de memoria, también conocida como Integridad de código protegida por hipervisor (HVCI), es una característica de seguridad de Windows que dificulta que programas malintencionados usen controladores de bajo nivel para secuestrar el equipo.
Un controlador es un componente de software que permite al sistema operativo (Windows en este caso) y un dispositivo (como un teclado o una cámara web, por dos ejemplos) hablar entre sí. Cuando el dispositivo quiere que Windows haga algo, usa el controlador para enviar esa solicitud.
Sugerencia: ¿Quieres obtener más información sobre los controladores? Consulta ¿Qué es un controlador?
La integridad de memoria funciona creando un entorno aislado mediante la virtualización de hardware.
Considéralo como un guardia de seguridad dentro de una cabina cerrada. Este entorno aislado (la cabina bloqueada en nuestra analogía) impide que la característica de integridad de memoria sea manipulada por un atacante. Un programa que quiere ejecutar un fragmento de código que puede ser peligroso tiene que pasar el código a la integridad de la memoria dentro de esa cabina virtual para que se pueda verificar. Cuando la integridad de memoria se sienta cómoda al saber que el código es seguro, devuelve el código a Windows para ejecutarlo. Normalmente, esto sucede muy rápidamente.
Sin que se ejecute la integridad de memoria, el "guardia de seguridad" destaca justo en la parte abierta, donde es mucho más fácil que un atacante interfiera o sabotear el guardia, lo que facilita que el código malintencionado pase y cause problemas.
¿Cómo administro la integridad de memoria?
En la mayoría de los casos, la integridad de memoria está activada de manera predeterminada en Windows 11 y se puede activar para Windows 10.
Para activarla o desactivarla:
-
Selecciona el botón Inicio y escribe "Aislamiento del núcleo".
-
Selecciona la configuración del sistema de Aislamiento del núcleo en los resultados de búsqueda para abrir la aplicación de seguridad de Windows.
En la página Aislamiento del núcleo, encontrarás Integridad de memoria junto con el botón de alternancia para activarla o desactivarla.
Importante: Por seguridad, recomendamos tener activada la integridad de memoria.
Para usar la integridad de memoria, debes tener habilitada la virtualización de hardware en la UEFI o bios del sistema.
¿Qué ocurre si dice que tengo un controlador incompatible?
Si no se puede activar la integridad de memoria, puede indicarte que ya tienes un controlador de dispositivo incompatible instalado. Consulta con el fabricante del dispositivo para ver si tiene un controlador actualizado disponible. Si no tienen controlador compatible disponible, es posible que puedas quitar el dispositivo o la aplicación que usa ese controlador incompatible.
Nota: Si intentas instalar un dispositivo con un controlador incompatible después de activar la integridad de memoria, es posible que veas el mismo mensaje. Si es así, se aplica el mismo consejo: comprueba con el fabricante del dispositivo si tiene un controlador actualizado que puedas descargar o no instales ese dispositivo en particular hasta que haya un controlador compatible disponible.
Protección de pila forzada por hardware del modo kernel
Protección de pila forzada por hardware del modo kernel es una característica de seguridad de Windows basada en hardware que dificulta que los programas malintencionados usen controladores de bajo nivel para secuestrar el equipo.
Un controlador es un componente de software que permite al sistema operativo (Windows en este caso) y a un dispositivo, como un teclado o una cámara web, por ejemplo, hablar entre sí. Cuando el dispositivo quiere que Windows haga algo, usa el controlador para enviar esa solicitud.
Sugerencia: ¿Quieres obtener más información sobre los controladores? Consulta ¿Qué es un controlador?
La protección de pila impuesta por hardware del modo kernel impide que los ataques que modifican direcciones de retorno en la memoria del modo kernel inicien código malintencionado. Esta característica de seguridad requiere una CPU que contenga la capacidad de comprobar las direcciones de devolución del código en ejecución.
Al ejecutar código en modo kernel, las direcciones de retorno en la pila de modo kernel pueden estar dañadas por programas malintencionados o controladores con el fin de redirigir la ejecución normal del código a código malintencionado. En las CPU compatibles, la CPU mantiene una segunda copia de las direcciones de devolución válidas en una pila de sombras de solo lectura que los controladores no pueden modificar. Si se ha modificado una dirección de devolución en la pila normal, la CPU puede detectar esta discrepancia comprobando la copia de la dirección de devolución en la pila de sombras. Cuando se produce esta discrepancia, el equipo solicita un error grave, a veces conocido como una pantalla azul, para evitar que se ejecute el código malintencionado.
No todos los controladores son compatibles con esta función de seguridad, ya que un pequeño número de controladores legítimos se dedican a modificar la dirección de remite con fines no malintencionados. Microsoft ha estado interactuando con numerosos editores de controladores para asegurarse de que sus controladores más recientes sean compatibles con la protección de pila impuesta por hardware en modo kernel.
¿Cómo administro la protección de pila forzada por hardware del modo kernel?
La protección de pila forzada por hardware del modo kernel está desactivada de manera predeterminada.
Para activarla o desactivarla:
-
Selecciona el botón Inicio y escribe "Aislamiento del núcleo".
-
Selecciona la configuración del sistema de Aislamiento del núcleo en los resultados de búsqueda para abrir la aplicación de seguridad de Windows.
En la página Aislamiento del núcleo, encontrarás Protección de pila habilitada para hardware en modo kernel junto con el botón de alternancia para activarla o desactivarla.
Para usar la protección de pila forzada por hardware del modo kernel, debe tener habilitada la integridad de memoria y debe estar ejecutando una CPU compatible con la tecnología de cumplimiento de intel Control-Flow o AMD Shadow Stack.
¿Qué ocurre si dice que tengo un controlador o servicio incompatible?
Si la Protección de pila forzada por hardware del modo kernel no se puede activar, puede indicarte que ya tienes un controlador o servicio de dispositivo incompatible instalado. Consulta con el fabricante del dispositivo o el editor de la aplicación para ver si tiene un controlador actualizado disponible. Si no tienen un controlador compatible disponible, es posible que puedas quitar el dispositivo o la aplicación que usa ese controlador incompatible.
Algunas aplicaciones pueden instalar un servicio en lugar de un controlador durante la instalación de la aplicación e instalar el controlador solo cuando se inicia la aplicación. Para una detección más precisa de controladores incompatibles, también se enumeran los servicios que se sabe que están asociados con controladores incompatibles.
Nota: Si intentas instalar un dispositivo o una aplicación con un controlador incompatible después de activar la Protección apilada forzada en modo kernel, es posible que veas el mismo mensaje. Si es así, se aplica el mismo consejo: consulta al fabricante del dispositivo o al editor de la aplicación para ver si tienen un controlador actualizado que puedas descargar o no instalar ese dispositivo o aplicación en particular hasta que haya un controlador compatible disponible.
Protección de acceso a memoria
También conocida como "Protección DMA de kernel", esto protege tu dispositivo frente a ataques que pueden producirse cuando un dispositivo malintencionado está conectado a un puerto PCI (interconexión de componentes periféricos), como un puerto Thunderbolt.
Un ejemplo sencillo de uno de estos ataques sería si alguien deja el equipo para tomar un descanso rápido y, mientras están ausentes, un atacante entra, enchufa un dispositivo similar a USB y se aleja con datos confidenciales de la máquina, o inyecta malware que les permite controlar el equipo de forma remota.
La protección de acceso a la memoria impide estos tipos de ataques al denegar el acceso directo a la memoria a esos dispositivos, excepto en circunstancias especiales, especialmente cuando el equipo está bloqueado o se cierra la sesión del usuario.
Se recomienda tener activada la protección de acceso a la memoria.
Sugerencia: Si quieres obtener más detalles técnicos sobre esto, consulta Protección DMA de kernel.
Protección de firmware
Cada dispositivo tiene un software que se ha escrito en la memoria de solo lectura del dispositivo - básicamente escrito en un chip en la placa del sistema - que se usa para las funciones básicas del dispositivo, como cargar el sistema operativo que ejecuta todas las aplicaciones que estamos acostumbrados a usar. Dado que es difícil (pero no imposible) modificar este software nos referimos a él como firmware.
Dado que el firmware se carga primero y se ejecuta en el sistema operativo, las herramientas de seguridad y las características que se ejecutan en el sistema operativo tienen dificultades para detectarlo o defenderse de él. Al igual que una casa que depende de una buena base para ser segura, un equipo necesita su firmware para ser seguro con el fin de garantizar que el sistema operativo, las aplicaciones y los datos del cliente en ese equipo son seguros.
Protección del sistema de Windows Defender es un conjunto de características que ayuda a garantizar que los atacantes no puedan conseguir que el dispositivo comience con firmware malintencionado o que no sea de confianza.
Te recomendamos que la tengas activada si el dispositivo lo admite.
Las plataformas que ofrecen protección de firmware normalmente también protegen el modo de administración del sistema (SMM), un modo de funcionamiento altamente privilegiado, en diversos grados. Se puede esperar uno de los tres valores, con un número más alto que indica un mayor grado de protección de SMM:
-
El dispositivo cumple con la versión uno de protección de firmware: esto ofrece mitigaciones de seguridad fundamentales para ayudar a SMM a resistir la explotación por malware y evita la exfiltración de secretos del sistema operativo (incluido VBS)
-
El dispositivo cumple con la versión dos de protección de firmware: además de la versión de protección de firmware uno, la versión dos garantiza que SMM no puede deshabilitar la seguridad basada en virtualización (VBS) y las protecciones DMA del kernel
-
El dispositivo cumple con la versión tres de protección de firmware: además de la versión dos de protección de firmware, protege aún más el SMM al impedir el acceso a determinados registros que tienen la capacidad de poner en peligro el sistema operativo (incluido VBS)
Sugerencia: Si quieres obtener más detalles técnicos al respecto, consulta Protección del sistema de Windows Defender: cómo una raíz de confianza basada en hardware ayuda a proteger Windows
Protección de las autoridades de seguridad locales
La protección de la Autoridad de seguridad local (LSA) es una función de seguridad de Windows que ayuda a evitar el robo de credenciales usadas para iniciar sesión en Windows.
La Autoridad de seguridad local (LSA) es un proceso crucial en Windows relacionado con la autenticación de usuario. Es responsable de comprobar las credenciales durante el proceso de inicio de sesión y de administrar los tokens y vales de autenticación usados para habilitar el inicio de sesión único para los servicios. La protección LSA ayuda a evitar que el software que no es de confianza se ejecute dentro de LSA o acceda a la memoria LSA.
¿Cómo administro la protección de las autoridades de seguridad locales?
La protección LSA está activada de manera predeterminada en las nuevas instalaciones de Windows 11, versión 22H2 y 23H2, en dispositivos administrados por la empresa. Está activada de manera predeterminada en todas las nuevas instalaciones de Windows 11, versión 24H2 y posteriores.
Si vas a actualizar a Windows 11 24H2 y la protección LSA aún no está habilitada, la protección LSA intentará habilitarla después de la actualización. La protección LSA entrará en modo de evaluación después de la actualización y comprobará si hay problemas de compatibilidad durante un período de 5 días. Si no se detecta ningún problema, la protección LSA se activará automáticamente en el siguiente reinicio después de que finalice la ventana de evaluación.
Para activarla o desactivarla:
-
Selecciona Inicio en la barra de tareas y escribe "Aislamiento del núcleo".
-
Selecciona la configuración del sistema de Aislamiento del núcleo en los resultados de búsqueda para abrir la aplicación de seguridad de Windows.
En la página Aislamiento del núcleo, encontrarás protección de autoridad de seguridad local junto con el botón de alternancia para activarla o desactivarla. Después de cambiar la configuración, debes reiniciarla para que surta efecto.
¿Qué ocurre si tengo software incompatible?
Si la protección LSA está habilitada y bloquea la carga de software en el servicio LSA, se mostrará una notificación que indica el archivo que se bloqueó. Es posible que puedas quitar el software que está cargando el archivo o deshabilitar las advertencias futuras para ese archivo cuando se bloquee para que no se cargue en LSA.
Microsoft Defender Credential Guard
Nota: Credential Guard de Microsoft Defender solo aparece en dispositivos que ejecutan versiones Enterprise de Windows 10 o 11.
Mientras usa su equipo profesional o educativo, iniciará sesión silenciosamente y obtendrá acceso a una variedad de cosas como archivos, impresoras, aplicaciones y otros recursos de su organización. Hacer que el proceso sea seguro, pero fácil para el usuario, significa que su equipo tiene una serie de tokens de autenticación (a menudo denominados "secretos") en él en un momento dado.
Si un atacante puede obtener acceso a uno o más de esos secretos, es posible que pueda usarlos para obtener acceso al recurso de la organización (archivos confidenciales, etc.) para el que sirve el secreto. Credential Guard de Microsoft Defender ayuda a proteger esos secretos poniéndolos en un entorno protegido virtualizado donde solo determinados servicios pueden acceder a ellos cuando es necesario.
Te recomendamos que la tengas activada si el dispositivo lo admite.
Sugerencia: Si quieres obtener más detalles técnicos al respecto, consulta Cómo funciona Defender Credential Guard.
Lista de bloqueados de controladores vulnerables de Microsoft
Un controlador es un componente de software que permite al sistema operativo (Windows en este caso) y un dispositivo (como un teclado o una cámara web, por dos ejemplos) hablar entre sí. Cuando el dispositivo quiere que Windows haga algo, usa el controlador para enviar esa solicitud. Por este motivo, los controladores tienen una gran cantidad de acceso confidencial en el sistema.
A partir de la actualización de Windows 11 2022, ahora tenemos una lista de bloqueados de controladores que tienen vulnerabilidades de seguridad conocidas, que se han firmado con certificados que se han usado para firmar malware o que evitan el modelo de seguridad de Windows.
Si tienes integridad de memoria, control de aplicaciones inteligentes o el modo S de Windows activado, la lista de bloqueados de controladores vulnerables también estará activada.