Cómo configurar Windows Defender para que busque malware al encender el ordenador
Al arrancar nuestro equipo, Microsoft cuenta con una herramienta para protegerlo del malware. Fue algo que introdujo en Windows 8 y está presente en Windows 10. Es lo que se conoce como arranque seguro. Lo que hace es iniciar el controlador ELAM (Early Lanch Anti-Malware). Básicamente lo que hace es iniciarse antes que cualquier otro controlador justo al arrancar el equipo. De esta manera podría bloquear posibles controladores maliciosos. En este artículo vamos a explicar cómo configurarlo para que busque malware correctamente al arrancar.
Cómo configurar la búsqueda de malware al arrancar Windows
De manera predeterminada lo que hace es evaluar cada controlador. Los clasifica en buenos y malos. También cuenta con categoría desconocida. Posteriormente el Kernel de Windows decide si inicia esos controladores o no, según la información recopilada. Sin embargo puede ocurrir que bloquee un controlador que sepamos que no hay problema, o al revés. Es por ello que podemos configurar ELAM previamente y modificar la política para iniciar. Podéis visitar nuestro tutorial sobre configurar Wake on WAN para encender PC desde Internet.
Hay que mencionar que es aconsejable realizar una copia de seguridad del sistema antes de modificar esto. Además, hay que estar seguros de que queremos realmente cambiar estos parámetros, ya que es una parte sensible del sistema y podría comprometer nuestra seguridad en caso de amenazas.
Cómo configurar los controladores de ELAM desde las Directivas de grupo
El editor de Directivas de grupo en Windows permite configurar los controladores ELAM. Nos deja modificar cómo queremos que actúe al arrancar el equipo.
En primer lugar tenemos que ir al menú inicio y buscar gpedit.msc. Así iniciamos el editor de las Directivas de grupo.
Aquí tenemos que entrar en Computer Configuration -> Administrative Templates -> System -> Early Launch Antimalware. Posteriormente le damos clic derecho en Boot-Start Driver Initialization. Aquí elegimos si queremos que se inicien solo los controladores considerados como buenos, los buenos y desconocidos, los buenos, desconocidos y malos o todos. Reiniciamos el equipo y ya estarán disponibles los cambios.
Puede ser que nuestro equipo no tenga acceso a gpedit.msc. Podemos instalarlo y configurarlo. Para ello hay que descargar el archivo. Posteriormente, si nuestro equipo es de 64 bits, hay que ir a la carpeta C:WindowsSysWOW64 y copiar los archivos GroupPolicyUsers, GroupPolicy y gpedit.msc y pegarlo en C:Windows/system32. Con esto debería de funcionar.
Configurar Early Launch desde el Registro
Pero además tenemos otra opción en caso de que no funcione. Podemos configurar Early Launch desde el Registro de Windows. Para ello hay que escribir “regedit” en el menú Inicio y ejecutarlo.
Posteriormente vamos a la ruta HKEY_LOCAL_MACHINESYSTEMCurrentControlSetPolicies. Hacemos clic derecho en Policies y le damos a crear nueva clave. La nombramos EarlyLaunch.
Una vez hecho esto, le damos al segundo botón del ratón encima y a Nuevo->DWORD (32-bit) y lo nombramos como DriverLoadPolicy.
Después de esto le damos doble clic y le tenemos que poner un valor. 8 significa que acepte únicamente lo que considera bueno. 1 los buenos y desconocidos. 3 sería los buenos, desconocidos y malos. 7 todos.
Una vez reiniciemos el equipo ya estaría todo listo y analizaría los controladores antes de ejecutarlo, según nuestra configuración.
En otro artículo hablamos del reversing de malware y cómo ayuda a la seguridad.