Pregúntele a alguien qué software antivirus está usando y probablemente obtendrá una discusión casi religiosa sobre cuál instaló.  Las opciones de antivirus a menudo dependen de en qué confiamos, o no, de nuestro sistema operativo.  He visto a algunos usuarios de Windows indicar que preferirían un proveedor externo para monitorear y proteger sus sistemas.  Otros, como yo, ven el software antivirus como menos importante en estos días;  Es más importante que su proveedor de antivirus pueda manejar la actualización de Windows correctamente y no cause problemas.

Otros confían en Microsoft Defender. Ha existido de una forma u otra desde Windows XP.

Defender tuvo recientemente un problema de día cero que se resolvió en silencio. Como resultado, he pedido a muchos usuarios que verifiquen qué versión de Defender tienen instalada. (Para verificar: haga clic en Inicio, luego en Configuración, luego en Actualización y Seguridad, luego en Seguridad de Windows, luego en Abrir Seguridad de Windows. Ahora busque el engranaje (configuración) y seleccione Acerca de.

Aquí hay cuatro líneas de información. El primero le da el número de versión del cliente antimalware. El segundo te da la versión Engine. El tercero te da el número de versión del antivirus. Y el número final es el número de versión de Antispyware. Pero, ¿qué significa cuando Defender dice que su versión Engine, la versión Antivirus y la versión Antispyware son 0.0.0.0? Puede significar que ha instalado un antivirus de terceros; sustituye a Defender, que por lo tanto se cierra correctamente. Algunas personas pensaron que su proveedor de antivirus «a pedido» era solo una herramienta de escaneo, y que Defender seguía siendo la principal herramienta antivirus. Pero si la herramienta de análisis de terceros se considera antivirus en tiempo real, será el software que funcione en su sistema.

Defender implica más que solo buscar archivos y descargas defectuosos. Ofrece una variedad de configuraciones que la mayoría de los usuarios no verifican regularmente, o que ni siquiera conocen. Algunos están expuestos en la GUI. Otros confían en desarrolladores externos para proporcionar orientación y comprensión adicionales. Una de esas opciones es la herramienta ConfigureDefender en el sitio de descarga de GitHub. (ConfigureDefender expone todos los parámetros que puede usar a través de PowerShell o el registro).

ConfigureDefenderConfigureDefender

La herramienta ConfigureDefender.

Como se indica en el sitio ConfigureDefender, las diferentes versiones de Windows 10 proporcionan diferentes herramientas para Defender. Todas las versiones de Windows 10 incluyen monitoreo en tiempo real; Monitoreo de comportamiento; escanear todos los archivos y adjuntos descargados; Nivel de informes (nivel de membresía de MAPS); Carga promedio de la CPU al escanear; Envío automático de muestras; Comprobaciones de aplicaciones potencialmente no deseadas (llamadas protección PUA); un nivel básico de protección en la nube (predeterminado); y un límite de tiempo básico de verificación en la nube. Con el lanzamiento de Windows 10 1607, se introdujo la configuración de «bloqueo a primera vista». Con la versión 1703, se han agregado niveles más granulares de nivel de protección en la nube y límite de tiempo de verificación de la nube. Y a partir de 1709, apareció la reducción de la superficie de ataque, el nivel de protección en la nube (con niveles extendidos para Windows Pro y Enterprise), el acceso controlado a las carpetas y la protección de la red.

A medida que se desplaza hacia abajo, verá una sección que cubre el control de reglas de Reducción de superficie de ataque (ASR) de Microsoft. También notará que muchos de ellos están discapacitados. Estas se encuentran entre las configuraciones más pasadas por alto de Microsoft Defender. Aunque necesita una licencia Enterprise para exponer completamente el monitoreo en su red, incluso las computadoras independientes y las pequeñas empresas pueden aprovechar estas configuraciones y protecciones. Como se señaló en un documento reciente, Recomendaciones de reducción de superficie de ataque de Microsoft Defender, hay varias configuraciones que deberían ser seguras para la mayoría de los entornos.

Las configuraciones recomendadas para habilitar incluyen:

  • Bloquee procesos que no sean de confianza y sin firmar que se ejecuten desde USB.
  • Evite que Adobe Reader cree procesos secundarios.
  • Bloquea el contenido ejecutable del cliente de correo electrónico y el correo web.
  • Evite que JavaScript o VBScript inicien contenido ejecutable descargado.
  • Bloquee el robo de credenciales en el subsistema de la Autoridad de seguridad local de Windows (lsass.exe).
  • Evite que las aplicaciones de Office creen contenido ejecutable.

Habilitar esta configuración, es decir, bloquear la acción, generalmente no tendrá un impacto negativo, incluso en computadoras independientes. Puede utilizar la herramienta para establecer estos valores y examinar cualquier impacto en su sistema. Probablemente ni siquiera te des cuenta de que te protegen mejor.

Luego, hay configuraciones que deben revisarse para su entorno para asegurarse de que no interfieran con sus necesidades comerciales o de TI. Estos parámetros son:

  • Evite que las aplicaciones de Office inyecten código en otros procesos.
  • Bloquee las llamadas a la API de Win32 desde las macros de Office.
  • Evite que todas las aplicaciones de Office creen procesos secundarios.
  • Bloquear la ejecución de scripts potencialmente confusos.

En particular, en un entorno que incluye Outlook y Teams, se registraba una gran cantidad de eventos si la opción «Evitar que todas las aplicaciones de Office creen procesos secundarios» estaba habilitada. Nuevamente, puede probarlos y ver si se ve afectado.

Los parámetros a monitorear son los siguientes:

  • Evite que los archivos ejecutables se ejecuten a menos que cumplan con un criterio de predominio, edad o lista de confianza.
  • Utilice protección avanzada contra ransomware.
  • Bloquee las creaciones de procesos de los comandos PSExec y WMI.
  • Evite que todas las aplicaciones de comunicación de Office creen procesos secundarios.

Estas configuraciones deben revisarse para asegurarse de que no interfieran con las aplicaciones y los procesos comerciales. Por ejemplo, si “Usar protección avanzada contra ransomware” suena como una configuración que todos desearían, en una empresa donde un equipo había desarrollado software para uso interno, se crearon problemas con los flujos de trabajo de los desarrolladores. (Esta configuración analiza específicamente los archivos ejecutables que ingresan al sistema para determinar si son confiables. Si los archivos parecen ransomware, esta regla evita que se ejecuten).

La configuración «Bloquear creaciones de procesos desde comandos PSExec y WMI» fue particularmente problemática, según los autores. La configuración no solo dio lugar a una gran cantidad de eventos en el registro de auditoría, sino que es incompatible con Microsoft Endpoint Configuration Manager porque el cliente de Configuration Manager necesita comandos WMI para funcionar correctamente.

Si no ha mirado las configuraciones adicionales en Microsoft Defender, descargue el archivo zip de github, descomprímalo y ejecute ConfigureDefender.exe para ver cómo estas configuraciones pueden afectar su computadora. Es posible que se sorprenda al descubrir que puede agregar un poco más de protección sin afectar su experiencia informática.

<p>Copyright © 2021 IDG Communications, Inc.</p>

Share This