Invalidar opciones de mitigación de procesos para facilitar la aplicación de directivas de seguridad relacionadas con las aplicaciones
Windows incluye "Opciones de mitigación de procesos" configurables por directivas de grupo que agregan protecciones avanzadas contra ataques basados en memoria, es decir, ataques en los que el malware manipula la memoria para obtener el control de un sistema. Por ejemplo, el malware podría intentar usar saturaciones de búfer para insertar código ejecutable malintencionado en la memoria, pero las opciones de mitigación de procesos pueden impedir la ejecución del código malintencionado.
Importante
Se recomienda probar estas mitigaciones en un laboratorio de pruebas antes de implementarlas en su organización para determinar si interfieren con las aplicaciones necesarias de la organización.
La configuración de directiva de grupo de este artículo está relacionada con tres tipos de mitigaciones de procesos. Los tres tipos están activados de forma predeterminada para aplicaciones de 64 bits, pero con la configuración de directiva de grupo descrita en este artículo, puede configurar más protecciones. Los tipos de mitigaciones de procesos son:
- Prevención de ejecución de datos (DEP) es una característica de protección de memoria de nivel de sistema que permite al sistema operativo marcar una o varias páginas de memoria como no ejecutables, lo que impide que el código se ejecute desde esa región de memoria, para ayudar a evitar la explotación de saturaciones de búfer. DEP ayuda a impedir que el código se ejecute desde páginas de datos, como el montón predeterminado, pilas y bloques de memoria. Para obtener más información, vea Prevención de ejecución de datos.
- Structured Exception Handling Overwrite Protection (SEHOP) está diseñado para bloquear vulnerabilidades de seguridad que usan la técnica de sobrescritura del controlador de excepciones estructurado (SEH). Dado que este mecanismo de protección se proporciona en tiempo de ejecución, ayuda a proteger las aplicaciones independientemente de si se compilan con las mejoras más recientes. Para obtener más información, vea Structured Exception Handling Overwrite Protection.
-
La aleatoriedad del diseño de espacio de direcciones (ASLR) carga archivos DLL en direcciones de memoria aleatorias en el momento del arranque para mitigar el malware diseñado para atacar ubicaciones de memoria específicas, donde se espera que se carguen archivos DLL específicos. Para obtener más información, vea Aleatorización del diseño del espacio de direcciones. Para encontrar más protecciones de ASLR en la tabla siguiente, busque
IMAGES
oASLR
.
En el procedimiento siguiente se describe cómo usar la directiva de grupo para invalidar la configuración de opciones de mitigación de procesos individuales.
Para modificar las opciones de mitigación de procesos
Abra el editor de directivas de grupo y vaya a la configuración Plantillas administrativas\Sistema\Opciones de mitigación\Opciones de mitigación de procesos .
Seleccione Habilitado y, a continuación, en el área Opciones , seleccione Mostrar para abrir el cuadro Mostrar contenido , donde puede agregar las aplicaciones y los valores de marca de bits adecuados, como se muestra en las secciones Configuración del campo bit y Ejemplo de este artículo.
Importante
Para cada aplicación que quiera incluir, debe incluir:
- Nombre del valor. Nombre del archivo de la aplicación, incluida la extensión. Por ejemplo:
iexplore.exe
. - Valor. Campo de bits con una serie de marcas de bits en posiciones concretas. Los bits se pueden establecer
0
en (donde se fuerza la configuración),1
(donde se fuerza la configuración) o?
(donde la configuración conserva el valor anterior existente). Si se establecen marcas de bits en posiciones no especificadas aquí,?
se podría producir un comportamiento indefinido.
- Nombre del valor. Nombre del archivo de la aplicación, incluida la extensión. Por ejemplo:
Establecimiento del campo de bits
Esta es una representación visual de las ubicaciones de marcas de bits para las distintas opciones de mitigación de procesos:
Donde las marcas de bits se leen de derecha a izquierda y se definen como:
Bandera | Ubicación de bits | Ajuste | Detalles |
---|---|---|---|
A | 0 | PROCESS_CREATION_MITIGATION_POLICY_DEP_ENABLE (0x00000001) |
Activa La prevención de ejecución de datos (DEP) para los procesos secundarios. |
B | 1 | PROCESS_CREATION_MITIGATION_POLICY_DEP_ATL_THUNK_ENABLE (0x00000002) |
Activa la emulación thunk de DEP-ATL para procesos secundarios. La emulación thunk de DEP-ATL permite al sistema interceptar errores no ejecutables (NX) que se originan en la capa thunk de active template library (ATL) y, a continuación, emular y controlar las instrucciones para que el proceso pueda continuar ejecutándose. |
C | 2 | PROCESS_CREATION_MITIGATION_POLICY_SEHOP_ENABLE (0x00000004) |
Activa la protección de sobrescritura del controlador de excepciones estructurado (SEHOP) para los procesos secundarios. SEHOP ayuda a bloquear vulnerabilidades de seguridad que usan la técnica de sobrescritura del controlador de excepciones estructurado (SEH). |
D | 8 | PROCESS_CREATION_MITIGATION_POLICY_FORCE_RELOCATE_IMAGES_ALWAYS_ON (0x00000100) |
Usa la configuración forzar aleatorización del diseño del espacio de direcciones (ASLR) para actuar como si se produjera una colisión base de imágenes en el tiempo de carga, rebaje forzantemente las imágenes que no son compatibles con la base dinámica. Las imágenes sin la sección de reubicación base no se cargan si se requieren reubicaciones. |
E | 15 | PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_ON (0x00010000) |
Activa la directiva de aleatorización ascendente, que incluye opciones de aleatoriedad de pila y hace que se use una ubicación aleatoria como la dirección de usuario más baja. |
F | 16 | PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_OFF (0x00020000) |
Desactiva la directiva de aleatoriedad de abajo hacia arriba, que incluye opciones de aleatoriedad de pila y hace que se use una ubicación aleatoria como la dirección de usuario más baja. |
Por ejemplo:
Si desea activar la configuración de PROCESS_CREATION_MITIGATION_POLICY_DEP_ENABLE y PROCESS_CREATION_MITIGATION_POLICY_FORCE_RELOCATE_IMAGES_ALWAYS_ON , desactive la configuración de PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_OFF y deje todo lo demás como valores predeterminados, querrá escribir un valor de ???????????????0???????1???????1
.