Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Nota
Algunas funcionalidades de App Control para empresas solo están disponibles en versiones específicas de Windows. Obtenga más información sobre la disponibilidad de características de App Control.
Microsoft tiene requisitos estrictos para el código que se ejecuta en el kernel. Por lo tanto, los actores malintencionados están recurriendo a vulnerabilidades de vulnerabilidades en controladores de kernel legítimos y firmados para ejecutar malware en el kernel. Una de las muchas ventajas de la plataforma Windows es nuestra fuerte colaboración con proveedores de hardware independientes (IVM) y OEM. Microsoft trabaja en estrecha colaboración con nuestra comunidad de IHV y seguridad para garantizar el nivel más alto de seguridad de los controladores para nuestros clientes. Cuando se encuentran vulnerabilidades en los controladores, trabajamos con nuestros asociados para asegurarse de que se aplican rápidamente y se implementan en el ecosistema. La lista de bloqueos de controladores vulnerables está diseñada para ayudar a proteger los sistemas contra controladores no desarrollados por Microsoft en todo el ecosistema de Windows con cualquiera de los siguientes atributos:
- Vulnerabilidades de seguridad conocidas que pueden aprovechar los atacantes para elevar privilegios en el kernel de Windows
- Comportamientos malintencionados (malware) o certificados usados para firmar malware
- Comportamientos que no son malintencionados, pero que evitan el modelo de Seguridad de Windows y que los atacantes pueden aprovechar para elevar privilegios en el kernel de Windows
Los controladores se pueden enviar a Microsoft para su análisis de seguridad en la página envío de controladores de Inteligencia de seguridad de Microsoft. Para obtener más información sobre el envío de controladores, consulte Mejora de la seguridad del kernel con el nuevo Centro de informes de controladores malintencionados y vulnerables de Microsoft. Para informar de un problema o solicitar un cambio en la lista de bloqueos, incluida la actualización de una regla de bloques una vez corregido un controlador, visite el portal de Inteligencia de seguridad de Microsoft.
Nota
Bloquear los controladores puede hacer que los dispositivos o el software no funcionen correctamente y, en raras ocasiones, conducir a una pantalla azul. No se garantiza que la lista de bloqueos de controladores vulnerables bloquee todos los controladores que tengan vulnerabilidades. Microsoft intenta equilibrar los riesgos de seguridad de los controladores vulnerables con el posible impacto en la compatibilidad y confiabilidad para generar la lista de bloqueos. Como siempre, Microsoft recomienda usar un enfoque de lista de permitidos explícito para la seguridad siempre que sea posible.
Lista de bloqueo de controladores vulnerables de Microsoft
Con Windows 11 actualización de 2022, la lista de bloqueos de controladores vulnerables está habilitada de forma predeterminada para todos los dispositivos y se puede activar o desactivar mediante la aplicación Seguridad de Windows. Excepto en Windows Server 2016, la lista de bloqueos de controladores vulnerables también se aplica cuando la integridad de memoria (también conocida como integridad de código protegida por hipervisor o HVCI), smart app control o modo S está activa. Los usuarios pueden participar en HVCI mediante la aplicación Seguridad de Windows y HVCI está activado de forma predeterminada para la mayoría de los dispositivos Windows 11 nuevos.
Nota
Seguridad de Windows se actualiza por separado del sistema operativo y se envía de fábrica. La versión con el botón de alternancia de la lista de bloqueos de controladores vulnerables está en el anillo de validación final y se enviará a todos los clientes muy pronto. Inicialmente, solo podrá ver el estado de configuración y el botón de alternancia aparecerá atenuado. La capacidad de activar o desactivar el botón de alternancia vendrá con una actualización de Windows futura.
En el caso de los usuarios de Windows Insiders, la opción de activar o desactivar la lista de bloqueos de controladores vulnerables de Microsoft mediante Seguridad de Windows configuración está atenuada cuando HVCI, Smart App Control o el modo S están habilitados. Debe deshabilitar HVCI o Smart App Control, o bien desactivar el dispositivo en modo S y reiniciar el dispositivo para poder desactivar la lista de bloqueos de controladores vulnerables de Microsoft.
La lista de bloqueos se actualiza con cada nueva versión principal de Windows, normalmente de 1 a 2 veces al año. La lista de bloqueos más actual ahora también está disponible para Windows 10 20H2 y Windows 11 usuarios de 21H2 como una actualización opcional de Windows Update. En ocasiones, Microsoft publicará actualizaciones futuras mediante el mantenimiento normal de Windows.
Los clientes que siempre quieran la lista de bloqueos de controladores más actualizada también pueden usar App Control for Business para aplicar la lista de bloqueos de controladores recomendada más reciente. Para su comodidad, le ofrecemos una descarga de la lista de bloqueos de controladores vulnerables más actualizada junto con instrucciones para aplicarla en su equipo al final de este artículo.
Bloqueo de controladores vulnerables mediante App Control
Microsoft recomienda habilitar el modo HVCI o S para proteger los dispositivos frente a amenazas de seguridad. Si esta configuración no es posible, Microsoft recomienda bloquear esta lista de controladores dentro de la directiva de App Control para empresas existente. Bloquear los controladores de kernel sin pruebas suficientes puede hacer que los dispositivos o el software no funcionen correctamente y, en raras ocasiones, una pantalla azul. Se recomienda validar primero esta directiva en modo de auditoría y revisar los eventos de bloque de auditoría.
Importante
Microsoft también recomienda habilitar la regla reducción de superficie expuesta a ataques (ASR) Bloquear el abuso de controladores firmados vulnerables explotados para evitar que una aplicación escriba un controlador firmado vulnerable en el disco. La regla ASR no impide que se cargue un controlador que ya existe en el sistema, pero habilitar la lista de bloqueos de controladores vulnerables de Microsoft o aplicar esta directiva de Control de aplicaciones impedirá que se cargue el controlador existente.
Pasos para descargar y aplicar el archivo binario de lista de bloqueo de controladores vulnerables
Si prefiere aplicar la lista de bloqueos de controladores vulnerables, siga estos pasos:
- Descarga de la herramienta de actualización de directivas de App Control
- Descarga y extracción de los archivos binarios de la lista de bloqueo de controladores vulnerables
- Seleccione la versión de solo auditoría o la versión aplicada y cambie el nombre del archivo a SiPolicy.p7b.
- Copie SiPolicy.p7b en %windir%\system32\CodeIntegrity
- Ejecute la herramienta de actualización de directivas de App Control que descargó en el paso 1 anterior para activar y actualizar todas las directivas de App Control en el equipo.
Para comprobar que la directiva se aplicó correctamente en el equipo:
- Abre el Visor de eventos
- Vaya a Registros de aplicaciones y servicios: Microsoft - Windows - CodeIntegrity - Operational
- Seleccione Filtrar registro actual...
- Reemplace "<Todos los identificadores> de evento" por "3099" y seleccione Aceptar.
- Busque un evento 3099 en el que PolicyNameBuffer y PolicyIdBuffer coincidan con la configuración de Name and Id PolicyInfo que se encuentra en la parte inferior de la lista de bloqueos App Control Policy XML de este artículo. NOTA: El equipo puede tener más de un evento 3099 si otras directivas de App Control también están presentes.
Nota
Si ya se están ejecutando controladores vulnerables que la directiva bloquearía, debe reiniciar el equipo para que esos controladores se bloqueen. Los procesos en ejecución no se cierran al activar una nueva directiva de Control de aplicaciones sin reiniciar.
XML de lista de bloqueo de controladores vulnerables
El archivo de directiva xml de lista de bloqueo recomendado se puede descargar desde el Centro de descarga de Microsoft.
Esta directiva contiene permitir todas las reglas. Si la versión de Windows admite varias directivas de Control de aplicaciones, se recomienda implementar esta directiva junto con las directivas de Control de aplicaciones existentes. Si tiene previsto combinar esta directiva con otra directiva, es posible que tenga que quitar las reglas Permitir todas antes de combinarla si la otra directiva aplica una lista de permitidos explícita. Para obtener más información, vea Crear una directiva de denegación de control de aplicaciones.
Nota
Para usar esta directiva con Windows Server 2016, debe convertir el XML de directiva en un dispositivo que ejecute un sistema operativo más reciente.