Las mejoras de seguridad de Microsoft y Windows Defender

El diseño de Windows ha cambiado radicalmente desde hace algunos años, ahora es un sistema concebido con mejoras de seguridad como uno de sus pilares fundamentales, no siendo una serie de añadidos como sucedía en versiones más antiguas, sino que la seguridad es nativa del sistema operativo, desde el núcleo del sistema hasta la gestión de servicios o la forma en que interactúan con aplicaciones de terceros.

Este a mi modo de ver, es un esfuerzo que hay que poner en valor a Microsoft, que trata de alejarse de la inseguridad de la que era acusado por sus detractores, que cada día pueden esgrimir menos argumentos en este sentido.

 

¿Cuáles son las mejoras de seguridad en los últimos años?

Seguridad en Clientes:

Microsoft ha dotado a Windows 10 (no olvidemos que muchos Windows 10 pueden ser actualizados a Windows 11 de manera gratuita) y Windows 11 de herramientas como…

• Windows Hello, que permite abrir sesión sin utilizar contraseñas, utilizando para ello el reconocimiento facial.
• Provee de herramientas para limitar el alcance de una posible intrusión a través de vulnerabilidades en aplicaciones, usando para ello “jaulas lógicas” que impiden el escalado de un atacante desde la app al sistema, haciendo para ello uso de los módulos de cifrado TPM, que ya son más o menos comunes en los sistemas del mercado de consumo.
• Elementos nativos de Microsoft Edge que ayudarán a proteger la privacidad de la navegación y que bloquean los intentos de rastrear datos desde webs maliciosas.
• La opción de activar copias de seguridad contra OneDrive, para salvar los datos frente a desastres de todo tipo. Pudiendo recuperar la información incluso en caso de haber perdido el control del equipo.
• Proteger las comunicaciones, con nuevos protocolos de comunicación y mejoras en los ya existentes, que prima la seguridad sobre todas las cosas, pero intentando mantener cierto compromiso en el mantenimiento de la velocidad de acceso a los servicios.
• E incluso realizar un seguimiento, protección y bloqueo de aplicaciones, juegos, etc. en base a horarios, dispositivos, y otros perfiles, haciendo uso de Microsoft Family Safety.
•  

Seguridad en servidores:

Por otro lado, la rama de servidores de Microsoft no tiene nada que envidiar a la versión de escritorio, y con los años ha incorporado muchas medidas de protección que van más allá de las que se muestran en la parte de cliente.

Con el paso de los años, y desde la aparición de Windows Server 2016, que puede decirse que fue el pionero en este sentido, han aparecido funcionalidades como:

• Mejoras en la seguridad de las comunicaciones internas, tanto a nivel de host como de virtualización.
• Mejoras en los protocolos de gestión de AD DS.
• Máquinas Virtuales Blindadas (Shield Virtual Machines) que tienen por objeto el imposibilitar que se pueda acceder a la información de la máquina virtual por ningún medio.
• Mejoras en la gestión de contraseñas del dominio, incluyendo las famosas PSO.
• Mejoras de la gestión de accesos y limitación de estos con Just Enough, JIT y PAM.
• Se han establecido mejoras en los filtros para prevenir el malware y otras amenazas con herramientas como AppLocker, Device Guard y el propio Windows Defender del que hablaremos un poco más en este artículo.
• La gestión de los logs de sistema operativo, que eran una pesadilla para los administradores de sistemas y sobre todo para los que veníamos de mundo UNIX ha sufrido una revolución, con la introducción de las auditorías avanzadas y con el potente Log Analytics.
• Y ligado a esto tenemos también las ventajas de Advanced Threat Analytics (ATA) que supuso una gran revolución en Windows Server 2016 y que se ha convertido en un auténtico monstruo en versiones posteriores, tirando sobre todo de la potencia de computo de la nube.
• Protección de servicios diversos como DNS, DHCP, SMB, etc.
• Por supuesto no podemos olvidarnos de un viejo conocido, el BitLocker que nos ayuda a proteger los datos de nuestros dispositivos, bien sean de escritorios o servidores.
• Por último, ese gran incomprendido, el firewall de Windows, que, si bien no supone la mejor defensa frente a los ataques, si que supone una capa adicional de protección cuando se combina con los firewalls perimetrales de terceros.

Al margen de lo explicado hasta ahora, no olvidemos la importancia de las actualizaciones y de todo el sistema de anillos que incorpora Microsoft, que hace que cuando una actualización llegue a nuestros sistemas, no sea un problema sino una solución.

Las actualizaciones deben ser una prioridad para todo administrador de sistemas, para evitar problemas como el que se produjo en 2017 con el famoso Wanacry que puso de rodillas a medio mundo, incluyendo grandes empresas como Telefónica, por un bug en el protocolo SMB de los sistemas Windows y que por desgracia ya tenía solución, pero no se había implementado en muchos sistemas.

 

¿Y las mejoras de seguridad de Windows Defender?

Alineado con esto, Microsoft Windows Defender es una herramienta creada por el gigante de Redmond para administrar las amenazas y vulnerabilidades de nuestras aplicaciones y sistema operativo. El principal foco de esta herramienta es la minimización de la superficie de ataque, eliminando amenazas, haciendo la automatización del tratamiento de los ataques, de la investigación y de las acciones correctivas.

 

Tal como hemos dicho previamente, Windows Defender es un antivirus y antimalware nativo en el sistema operativo (integrado) que recibe todo su potencial de las capacidades de análisis y aprendizaje automático en base a la ingesta masiva de datos recibidos de todo el mundo en sus sistemas centrales hospedados en la nube.

Cientos de millones de dispositivos de todo tipo que van informando en tiempo real de lo que pasa, de como se comportan los sistemas, de las infecciones, propagaciones, etc. y que hacen que la base de conocimiento interna de dicho antivirus sea realmente enorme y el volumen no es lo realmente importante.

Lo importante, es que Microsoft, hace un proceso de tratamiento y análisis de toda esta información, posibilitando extraer patrones de comportamiento de sistemas, aplicaciones y cómo se comportan ante virus y otras amenazas, lo que consigue que las bases de datos de conocimiento con las que sincroniza este antivirus sean de las más potentes del mercado.

Uno de los puntos fuertes de las mejoras de seguridad de Windows Defender, igual que otros puntos de los sistemas operativos de Microsoft es la sencillez con la que se pueden operar, con a penas unas pocas nociones de operación.

Protección antivirus y contra amenazas:

Otro de los puntos de gran interés de Windows Defender es que nos permite usar esta aplicación tanto para gestionar el propio antivirus de Microsoft, como en el caso de haber instalado un antivirus de terceros, como, por ejemplo, el más que eficiente Bitdefender, con el que suelo trabajar y que para mí es el mejor del mercado.

 

Para ver el estado de las amenazas, información diversa, configurar distintas opciones del antivirus, bastaría en acceder a la sección de “Protección de antivirus y contra amenazas”.

En esta sección, también se puede encontrar un enlace para la gestión del proveedor de antivirus y es en esta sección donde podremos decir que antivirus tiene el control del equipo, que configuración tiene el firewall, e incluso que sistema de protección tenemos para la navegación web.

Nuestro sistema realizará escaneos programados y además podrá aceptar solicitudes de escaneos bajo demanda en caso de ser necesarios, por supuesto, reaccionará a la inserción de cualquier dispositivo externo como por ejemplo una memoria USB o un disco duro.

En caso de ser necesario, el antivirus podrá ser suspendido durante un tiempo, o desconectado, que, aunque no es recomendable, puede ser necesario para hacer algún tipo de instalación o prueba. Y lo mismo pasará con las actualizaciones, que, si bien las deberíamos tener en automático, es posible que prefiramos instalarlas cuando nosotros queramos, cosa que nos permite el sistema.

Windows Defender también nos provee de algunas otras funcionalidades más allá da lo que sería el antivirus puramente dicho. Entre otras cosas nos brinda protección de cuentas, protección de red y aplicaciones, rendimiento y ciertas opciones para proteger a los miembros de nuestra familia de los peligros que acechan en internet.

Vamos a revisar cada una de estas secciones de manera somera.

Mejoras de seguridad en la protección de cuentas:

Primero tenemos el apartado de protección de cuentas. En este apartado, se nos dan distintas opciones para conseguir que las cuentas de inicio de sesión estén protegidas.

Disponemos de opciones como el famoso Windows Hello que nos permite desbloquear pantalla con opciones más seguras y rápidas como por ejemplo la detección de la estructura de nuestra cara. Yo llevo años usándola, eso de sentarse frente al portátil y que se desbloquee de manera automática es una auténtica maravilla.

 

En esta sesión también tenemos el bloqueo dinámico, que nos permite configurar el sistema con distintas opciones de boqueo automático y para desbloquearlo, usando la huella dactilar, patrones numéricos, patrones sobre imágenes especialmente pensados para dispositivos táctiles como la famosa Surface, etc.

 

Mejoras de seguridad en el firewall y la protección de red:

Como ya sabemos, aunque dispongamos de un firewall perimetral que proteja nuestra red de posibles intentos de intrusión, elfirewall de los sistemas es más que necesario. Todos los sistemas operativos deben tener su propio firewall independiente para protegerse de posibles situaciones en las que el atacante ha entrado en nuestra red o en el caso de que haya un atacante de dentro de nuestra organización (recordemos que la mayoría de los problemas de seguridad se originan dentro de nuestra red).

En este sentido, Microsoft Windows dispone de un buen antivirus, pero claro, hay que dedicarle tiempo para dejarlo bien configurado, y lo más importante, olvidarnos de esa tendencia tan difundida de deshabilitarlo en cuanto nos encontramos con el primer problema.

El firewall de Windows puede disponer de tres tipos de perfiles según la red a la que haya conectado:

• Red de dominio: Esta red solo aparecerá si nuestro equipo está dado de alta en un dominio. Y hace referencia a todas las conexiones que vengan desde este.
• Red privada: Se refiere a las conexiones internas de nuestra red.
• Red pública: Se refiere a todo lo que venga de internet.

También debemos tener en cuenta, que, si se configura un antivirus de terceros, este se hará cargo de la gestión de antivirus y si necesitamos configurar alguna excepción o similar deberemos ir a la consola de antivirus para cambiarla.

El control de aplicaciones y navegador:

Esta sección pretende darnos otra capa más de seguridad haciendo uso de la tecnología Smart Screen que entre otras cosas, ayuda a identificar malware (programas malignos) o a sitios web con suplantación de identidad (phishing).

Además, permite poner filtros que permitan bloquear archivos que el sistema no sea capaz de identificar o asociar a la fuente de un programa, así como proteger el sistema de descargas con contenido dudoso.

En esta segunda parte, permite ejecutar Microsoft Edge en un entorno protegido llamado navegación aislada que impida que permite que, aunque se comprometa la seguridad del navegador, el atacante no pueda acceder al sistema, quedando de esta manera aislado.

Por último, se dispone de un mecanismo de protección contra vulnerabilidades que se ejecuta continuamente en el sistema y protege de las vulnerabilidades en tiempo real, encargándose de imposibilidad de explotar fallas del sistema, incluso aquellas que aún no han sido descubiertas o reportadas.

La seguridad del dispositivo:

La sección de seguridad del dispositivo cuenta con todas las medidas de seguridad que se incluyen en el propio hardware del dispositivo, o aquellas que se aprovechan mediante módulos programados que hacen uso de las funcionalidades del kernel (como por ejemplo módulos del kernel).

Dentro de estas funcionalidades entra el aislamiento del núcleo, que es una función de seguridad basada en virtualización que protege el kernel o núcleo del sistema operativo para evitar que los fallos de seguridad o los ataques puedan afecta al resto del sistema, comprometiendo únicamente la línea de ejecución en curso.

Después tenemos el aprovechamiento del procesador de seguridad que permite usar un cifrado adicional para aumentar la seguridad del sistema.

Por último, en esta sección se tiene también la configuración del arranque seguro, que en este caso proporciona información sobre si dicha función está configurada y activa en el sistema, proporcionando una protección adicional contra la carga de software malintencionado en el arranque.

 

El rendimiento y estado del dispositivo:

En la sección de rendimiento y estado del dispositivo se puede ver el estado del dispositivo, en lo que respecta a rendimiento y de otros temas como el servicio de hora del sistema, que tiene una gran importancia para el correcto funcionamiento de infinidad de sistemas, o también nos proporciona información sobre el estado del almacenamiento del dispositivo y sobre el estado de aplicaciones y software.

Desde esta sección también se puede obtener información adicional sobre múltiples tareas como el “restore to default”, o lo que es lo mismo, dejar la instalación sin configuraciones, o a un estado como recién salido de fábrica.

Por último, en esta sección, también se puede hacer todas las configuraciones de privacidad de este dispositivo, o, mejor dicho, acceder al frontal donde podremos realizarlas.  

 

 

Las opciones de familia:

La última sección disponible es la de opciones de familia, lo que siempre se ha llamado control parental, que ahora es un apartado dentro de esta sección.

Esta sección aprovecha las funciones de seguridad y el sistema de aprendizaje de Azure para poder proporcionar una ayuda para categorizar los sitios apropiados para navegar, las que son inapropiadas o tienen contenidos peligrosos.

También podremos controlar las horas a las que podrán conectar a internet o incluso bloquear el que puedan comprar aplicaciones sin autorización paternal.

 

 

¿Existen inconvenientes en el uso de Windows Defender?

Por desgracia, no todo son alegrías y maravillas con esta herramienta, a veces, Microsoft también la lía con este producto, no olvidemos el fallo que se produjo en mayo del año pasado (2021), cuando un bug de la aplicación hizo que los equipos que tenían instalada una versión en concreto de Windows Defender se llenaran con miles de archivos temporales.

Por suerte, más allá de este problema, son pocos los casos en los que este antivirus ha dado problemas y se puede decir que es un antivirus que, a pesar de tener una alta tasa de fiabilidad en la detección de amenazas, a penas carga el sistema, por lo que da un rendimiento bastante apropiado. A pensar de esto, yo seguiré haciendo uso del viejo lema de “Better Together” (mejor juntos) y seguiré haciendo uso de este antivirus junto al muy fiable Bitdefender.

Conclusiones:

Tras muchos años caminando por el desierto en materia de seguridad, Microsoft ha llegado a un oasis donde ha comenzado a construir las bases de un sistema mucho más seguro que se ha ido ganando el respeto de propios y extraños.

El trabajo que hizo Microsoft en el rediseño del kernel y otros temas relacionados ha hecho que nos encontremos en un buen momento en este sentido, hasta el antiguo antivirus de Windows 7 del que todos renegábamos ha servido para que el gigante de Redmond aprenda de sus errores y haga un excelente trabajo con Windows Defender.

Recordemos que, a pesar de ser un antivirus bastante completo, Microsoft nos permite instalar un antivirus de terceros y Defender cederá esa parte al nuevo antivirus, mientras que gestiona otras para una mayor seguridad.

Lo último que me gustaría añadir antes de dar por terminada esta revisión de Microsoft Windows Defender, es que para sacar mayor rendimiento a Windows Defender se recomienda utilizarlo junto con Microsoft Defender para Endpoint, que es la herramienta de seguridad de Microsoft 365 que da opciones realmente avanzadas.