Microsoft anunció el lanzamiento del borrador de la línea de base de seguridad para Windows 10 y Windows Server, versión 20H2, así como la intención de incluir la función ‘Block At First Sight’ (BAFS) de Microsoft Defender Antivirus dentro de la nueva línea de base.
La línea de base de seguridad de Windows 10 permite a los administradores de seguridad utilizar líneas de base de Objeto de política de grupo (GPO) recomendadas por Microsoft para reducir la superficie de ataque de Windows 10 y para impulsar la postura de seguridad general de los puntos finales empresariales.
«Una línea de base de seguridad es un grupo de opciones de configuración recomendadas por Microsoft que explica su impacto en la seguridad», como explica Microsoft . «Esta configuración se basa en los comentarios de los equipos de ingeniería de seguridad de Microsoft, grupos de productos, socios y clientes».
«Las líneas de base están diseñadas para organizaciones bien administradas y conscientes de la seguridad en las que los usuarios finales estándar no tienen derechos administrativos», dijo el consultor de la Unidad Federal de Éxito del Cliente (CSU) de Microsoft, Rick Munck .
Detección de malware más rápida
Si bien la función BAFS de Microsoft Defender Antivirus se introdujo con el lanzamiento de Windows 10, versión 1607 en agosto de 2016, esta es la primera vez que Microsoft pretende recomendarla como configuración predeterminada en puntos finales empresariales.
«Según nuestro análisis del valor de la seguridad frente al costo de implementación, creemos que es hora de agregar la característica de bloqueo a primera vista de Microsoft Defender Antivirus a la línea de base de seguridad», dijo Munck.
Cuando se habilita en un sistema Windows 10 o Windows Server, BAFS disminuirá en gran medida la cantidad de tiempo que Microsoft Defender Antivirus necesitará para detectar y bloquear nuevo malware utilizando el servicio de protección basado en la nube de Microsoft y el aprendizaje automático.
«Cuando Microsoft Defender Antivirus encuentra un archivo sospechoso pero no detectado, consulta nuestro backend de protección en la nube», explica Microsoft .
«El backend en la nube aplica heurística, aprendizaje automático y análisis automatizado del archivo para determinar si los archivos son maliciosos o no una amenaza».
Los administradores de seguridad pueden habilitar BAFS alternando las siguientes cuatro configuraciones de requisitos previos adicionales en la parte superior de ‘Unirse a Microsoft MAPS’ y ‘Enviar muestra de archivo cuando se requieran más análisis’ que ya están habilitadas por las líneas base anteriores:•
Configure la función ‘Bloquear a primera vista’ configurada en Habilitado•
Analice todos los archivos y adjuntos descargados configurados en Habilitado•
Desactive la protección en tiempo real configurada en Deshabilitada•
Seleccione el nivel de protección de nube configurado en Nivel de bloqueo alto
Las cuatro configuraciones de prerrequisitos de BAFS se agregarán a la política de grupo ‘MSFT Windows 10 20H2 y Server 20H2 – Defender Antivirus’ una vez que se publique la versión final de la línea de base de seguridad.
Nuevas reglas para la reducción de la superficie de ataque de Windows.
Con la nueva línea de base de seguridad, Microsoft también recomendará a los administradores que habiliten reglas adicionales de reducción de la superficie de ataque que también se agregarán a la política de grupo ‘MSFT Windows 10 20H2 y Server 20H2 – Defender Antivirus’.
La primera, la regla ‘Usar protección avanzada contra ransomware’ está diseñada para bloquear automáticamente cualquier etiqueta de archivo Defender Antivirus como maliciosa a menos que se agregue a una lista de exclusión.
‘Bloquear la persistencia a través de la suscripción de eventos de WMI’, el segundo nuevo control de reducción de la superficie de ataque en el borrador de línea de base de seguridad de 20H2, está diseñado para evitar que los actores de amenazas eviten la detección al obtener persistencia de Instrumental de administración de Windows (WMI).
Con el lanzamiento de Windows 10 20H2, también se recomienda a los administradores que apliquen la línea de base de seguridad de Microsoft Edge a sus sistemas, ya que el nuevo navegador web Microsoft Edge basado en Chromium ahora se entrega como una parte integrada del sistema operativo.
Una lista de todos los cambios que pueden incluirse en la versión final de la línea de base basada en los comentarios de los evaluadores está disponible en la publicación del blog de orientación de seguridad de Microsoft .
El borrador de la línea de base de seguridad de Windows 10 20H2 incluye copias de seguridad e informes de GPO, scripts para aplicar la configuración al GPO local y archivos de reglas de Policy Analyzer, y se puede descargar desde aquí .
Como es habitual, con cada versión preliminar de seguridad, Microsoft también incluye hojas de cálculo que documentan todas las configuraciones de seguridad y las políticas de grupo para Windows 10 y Windows Server v2004 «junto con la configuración recomendada por Microsoft de esas configuraciones para sistemas empresariales bien administrados».
Microsoft agregó anteriormente nuevas políticas de seguridad de longitud de contraseña de cuenta a la línea base de Windows 10 2004 y eliminó la configuración de Protección contra vulnerabilidades de la línea base de seguridad de Windows 10 1909 .
