Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Nota
Algunas funcionalidades de App Control para empresas solo están disponibles en versiones específicas de Windows. Obtenga más información sobre la disponibilidad de características de App Control.
Microsoft tiene requisitos estrictos para el código que se ejecuta en el kernel. Por lo tanto, los actores malintencionados están recurriendo a vulnerabilidades de vulnerabilidades en controladores de kernel legítimos y firmados para ejecutar malware en el kernel. Una de las muchas ventajas de la plataforma Windows es nuestra fuerte colaboración con proveedores de hardware independientes (IVM) y OEM. Microsoft trabaja en estrecha colaboración con nuestra comunidad de IHV y seguridad para garantizar el nivel más alto de seguridad de los controladores para nuestros clientes. Cuando se encuentran vulnerabilidades en los controladores, trabajamos con nuestros asociados para asegurarse de que se aplican rápidamente y se implementan en el ecosistema. La lista de bloqueos de controladores vulnerables está diseñada para ayudar a proteger los sistemas contra controladores no desarrollados por Microsoft en todo el ecosistema de Windows con cualquiera de los siguientes atributos:
- Vulnerabilidades de seguridad conocidas que un atacante podría aprovechar para elevar privilegios en el kernel de Windows
- Comportamientos malintencionados (malware) o certificados usados para firmar malware
- Comportamientos que no son malintencionados pero que evitan el modelo de Seguridad de Windows y que un atacante podría aprovechar para elevar privilegios en el kernel de Windows
Los controladores se pueden enviar a Microsoft para su análisis de seguridad en la página envío de controladores de Inteligencia de seguridad de Microsoft. Para obtener más información sobre el envío de controladores, consulte Mejora de la seguridad del kernel con el nuevo Centro de informes de controladores malintencionados y vulnerables de Microsoft. Para informar de un problema o solicitar un cambio en la lista de bloqueos, incluida la actualización de una regla de bloque una vez disponible una versión fija de un controlador, visite el portal de Inteligencia de seguridad de Microsoft.
Nota
Bloquear los controladores puede hacer que los dispositivos o el software no funcionen correctamente y, en raras ocasiones, conducir a una pantalla azul. No se garantiza que la lista de bloqueos de controladores vulnerables bloquee todos los controladores que tengan vulnerabilidades. Cuando se produce la lista de bloqueos, Microsoft intenta equilibrar los riesgos de seguridad de los controladores vulnerables con el posible efecto en la compatibilidad y confiabilidad. La lista de bloqueos incluida en este artículo y en los archivos descargables asociados normalmente contiene un conjunto más completo de controladores vulnerables conocidos que la versión del sistema operativo y entregada por Windows Update. A menudo es necesario que retemos algunos bloques para evitar romper la funcionalidad existente mientras trabajamos con nuestros asociados que están involucrando a sus usuarios para actualizar a las versiones con revisiones. Como siempre, Microsoft recomienda usar un enfoque de lista de permitidos explícito para la seguridad siempre que sea posible, pero cuando eso no es factible, el uso de esta lista de bloqueos es una herramienta crítica para interrumpir a los actores malintencionados.
Lista de bloqueo de controladores vulnerables de Microsoft
Desde la actualización de Windows 11 2022, la lista de bloqueos de controladores vulnerables está habilitada de forma predeterminada para todos los dispositivos y se puede activar o desactivar a través de la aplicación Seguridad de Windows. Excepto en Windows Server 2016, la lista de bloqueos de controladores vulnerables también se aplica cuando está activa la integridad de la memoria, también conocida como integridad de código protegida por hipervisor (HVCI), smart app control o modo S. Los usuarios pueden participar en HVCI mediante la aplicación Seguridad de Windows y HVCI está activado de forma predeterminada para la mayoría de los dispositivos Windows 11 nuevos.
La lista de bloqueos se actualiza trimestralmente. Además, las actualizaciones de listas de bloqueo se entregan a través de las actualizaciones mensuales de Windows como parte del proceso de mantenimiento estándar para ayudar a proteger a los clientes.
Los clientes que siempre quieran la lista de bloqueo de controladores más actualizada también pueden usar App Control for Business para aplicar la lista de bloqueo de controladores recomendada más reciente incluida en este artículo. Para su comodidad, le ofrecemos una descarga de la lista de bloqueos de controladores vulnerables más actualizada junto con instrucciones para aplicarla en su equipo al final de este artículo.
Bloqueo de controladores vulnerables mediante App Control
Microsoft recomienda habilitar el modo HVCI o S para proteger los dispositivos frente a amenazas de seguridad. Si esta configuración no es posible, Microsoft recomienda bloquear esta lista de controladores dentro de la directiva de App Control para empresas existente. Bloquear los controladores de kernel sin pruebas suficientes puede hacer que los dispositivos o el software no funcionen correctamente y, en raras ocasiones, una pantalla azul. Primero debe validar esta directiva en modo de auditoría y revisar los eventos de bloque de auditoría antes de implementar una versión aplicada.
Importante
Microsoft también recomienda habilitar la regla reducción de superficie expuesta a ataques (ASR) Bloquear el abuso de controladores firmados vulnerables explotados para evitar que una aplicación escriba un controlador firmado vulnerable en el disco. La regla ASR no impide que se cargue un controlador que ya existe en el sistema, pero habilitar la lista de bloqueos de controladores vulnerables de Microsoft o aplicar esta directiva de Control de aplicaciones impide que se cargue el controlador existente.
Pasos para descargar y aplicar el archivo binario de lista de bloqueo de controladores vulnerables
Si prefiere aplicar la lista de bloqueos de controladores vulnerables, siga estos pasos:
- Descarga de la herramienta de actualización de directivas de App Control
- Descarga y extracción de los archivos binarios de la lista de bloqueo de controladores vulnerables
- Seleccione la versión de solo auditoría o la versión aplicada y cambie el nombre del archivo a SiPolicy.p7b.
- Copie SiPolicy.p7b en %windir%\system32\CodeIntegrity
- Ejecute la herramienta de actualización de directivas de App Control que descargó en el paso 1 anterior para activar y actualizar todas las directivas de App Control en el equipo.
Para comprobar que la directiva se aplicó correctamente en el equipo:
- Abre el Visor de eventos
- Vaya a Registros de aplicaciones y servicios: Microsoft - Windows - CodeIntegrity - Operational
- Seleccione Filtrar registro actual...
- Reemplace "<Todos los identificadores> de evento" por "3099" y seleccione Aceptar.
- Debería encontrar un evento 3099 en el que PolicyNameBuffer y PolicyIdBuffer coinciden con el nombre y el identificador de la configuración de PolicyInfo que se encuentra en la lista de bloqueos App Control Policy XML de este artículo. NOTA: Es posible que el equipo tenga más de un evento 3099 si hay otras directivas de App Control.
Nota
Si ya se están ejecutando controladores vulnerables que la directiva bloquearía, debe reiniciar el equipo para que esos controladores se bloqueen. Los procesos en ejecución no se detienen al activar una nueva directiva de Control de aplicaciones sin reiniciar.
XML de lista de bloqueo de controladores vulnerables
El archivo de directiva xml de lista de bloqueo recomendado se puede descargar desde el Centro de descarga de Microsoft.
Esta directiva contiene permitir todas las reglas. Si la versión de Windows admite varias directivas de Control de aplicaciones, se recomienda implementar esta directiva junto con las directivas de Control de aplicaciones existentes. Si tiene previsto combinar esta directiva con otra directiva, quite las reglas Permitir todo antes de combinarla si la otra directiva aplica una lista de permitidos explícita. Para obtener más información, vea Crear una directiva de denegación de control de aplicaciones.
Nota
Para usar esta directiva con Windows Server 2016, debe convertir el XML de directiva en un dispositivo que ejecute un sistema operativo más reciente. Las directivas disponibles en el vínculo del Centro de descarga de Microsoft proporcionadas anteriormente en este artículo también incluyen versiones para Windows Server 2016.