Microsoft implementó una nueva característica de seguridad en la actualización de Windows 10 de noviembre que agregó una opción al sistema operativo para bloquear la carga de fuentes no confiables.
El uso de fuentes siempre ha sido problemático en el sistema operativo Windows desde el punto de vista de la seguridad, ya que los errores en el código de manejo de fuentes pueden dar a los atacantes privilegios de alto nivel.
Boletines como el MS15-078 indican que el sistema de fuentes de Windows está siendo atacado regularmente, y una forma de mitigar el impacto de estos ataques fue la nueva función de seguridad de bloqueo de fuentes no confiables integrada en Windows 10.
He mencionado la característica cuando revisé la nueva versión de Microsoft EMET, ya que viene con soporte para ella, pero es probable que algunos usuarios no la hayan visto, de ahí este nuevo artículo.
Bloqueo de fuentes no fiables
La función de seguridad debe estar habilitada en el Registro de Windows, y allí para cada equipo en el que desee habilitar la función.
- Pulse sobre la tecla Windows, escriba regedit.exe y pulse enter.
- Confirme la solicitud de UAC si se visualiza.
- Navegue hasta HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerKernel
- Haga clic con el botón derecho en el kernel y seleccione Nuevo> Valor QWORD (64 bits) y llámelo MitigationOptions.
- Haga doble clic en MitigationOptions después y utilice uno de los siguientes valores para la función:
- Para encenderlo: 10000000000000000
- Para apagarlo: 20000000000000000
- Para establecer el modo de auditoría: 30000000000000000
Nota: Se recomienda encarecidamente configurar primero la función de seguridad de bloqueo de fuentes no fiables en el modo de auditoría, ya que es posible que surjan problemas con aplicaciones de terceros después de habilitar la función en un equipo que ejecute Windows 10.
Alternativamente, si está ejecutando Microsoft EMET 5.5 en la máquina, puede activar la función “bloquear fuentes no fiables” utilizando la interfaz de la aplicación.
Si lo configura en modo de auditoría, todos los intentos de carga de fuentes bloqueadas se escriben en el registro de eventos.
- Pulse sobre la tecla Windows, escriba eventvwr.exe y pulse enter.
- Navegue a Registros de aplicaciones y servicios/Microsoft/Windows/Win32k/Operational.
- Desplácese hacia abajo hasta EventID: 260 y revise las entradas que encuentre allí.
Configuración de excepciones
Es posible que algunos programas no se carguen o muestren correctamente después de habilitar el bloqueo de fuentes no confiables en Windows 10. Si bien es posible que pueda resolver algunos de los problemas directamente, por ejemplo, haciendo cumplir el uso de las fuentes del sistema en la aplicación, es posible que tenga problemas con algunas aplicaciones en las que eso no sea una opción.
Microsoft agregó una opción a la función de seguridad que le permite establecer excepciones para estos procesos.
- Pulse sobre la tecla Windows, escriba regedit.exe y pulse enter.
- Confirme la consulta de UAC.
- Navegar a HKEY_LOCAL_MACHINE Software de Microsoft Windows NT, CurrentVersion, Image File Execution Options
- Haga clic con el botón derecho en Opciones de ejecución del archivo de imagen y seleccione Nuevo> Clave.
- Utilice el nombre completo del archivo del proceso que desea excluir, por ejemplo, winword.exe o firefox.exe, de modo que la clave tenga el aspecto siguiente: HKEY_LOCAL_MACHINE SoftwareMicrosoftWindows NTCurrentVersionImage File Execution Optionsfirefox.exe.
- Repita esto para cada proceso que desee excluir.
Puede encontrar información adicional sobre el bloqueo de fuentes no fiables en el sitio web de Technet de Microsoft.
Nota lateral : G