Cómo activar la opción de seguridad de Aislamiento del núcleo e Integridad de memoria en Windows 10 y Windows 11. Estas opciones mejoran la seguridad de nuestro equipo considerablemente. Iniciamos Windows Sandbox (Espacio aislado Windows). Establecemos algunas opciones de configuración en ficheros .wsb para la máquina virtual Windows Sandbox.

Definición de Aislamiento del núcleo e Integridad de memoria

Según el propio Microsoft, el Aislamiento del núcleo es una característica de seguridad de Microsoft Windows que protege los procesos principales importantes de Windows contra el software malintencionado al aislarlos en la memoria. Para ello, ejecuta esos procesos principales en un entorno virtualizado.

Por otra parte, la Integridad de memoria (también llamada HVCI o Integridad de código protegida por hipervisor) es , es una característica de seguridad de Windows que dificulta que programas malintencionados usen controladores de bajo nivel para secuestrar el equipo. Un controlador es un componente de software que permite al sistema operativo y a un dispositivo (teclado, cámara web, etc.) comunicarse entre sí. Cuando el dispositivo quiere que Windows haga algo, usa el controlador para enviar esa solicitud. La integridad de memoria funciona creando un entorno aislado mediante la virtualización de hardware.

Requisitos para habilitar la Integridad de memoria y el Aislamiento del núcleo en Windows 10 y Windows 11

Esta opción sólo está disponible en versiones Pro de Windows 10 y Windows 11. Si tenemos la versión Home no estará disponible.

Por otro lado, esta opción requiere de una BIOS compatible con SVM (para procesadores AMD) o VT-x (para procesadores Intel). Si no tenemos esta opción activada en la BIOS o no es compatible, Windows nos mostrará la opción de «Espacio aislado de Windows» deshabilitada:

Para activar la opción SVM o VT-x en una BIOS Gigabyte, reiniciaremos el equipo y accederemos a la BIOS (normalmente pulsando la tecla F2 o F12 o Suprimir). Una vez en a BIOS, entraremos en el modo avanzado pulsando F2:

Pulsaremos en M.I.T. y en «Advanced Frequency Settings»:

Pulsaremos en «Advanced CPU Settings»:

Si «SVM Mode» o «VT-x mode» están a valor «Disabled»:

Los cambiaremos a valor «Enabled»:

Guardaremos los cambios y saldremos de la BIOS desde «Save & Exit Setup»:

Instalar Espacio aislado de Windows y activar la Integridad de memoria en Windows 11 y Windows 10

En el caso de equipos con Windows 11 Pro que se hayan instalado con la opción de la BIOS anterior activada, la Integridad de memoria suele venir activada por defecto. Podremos comprobarlo desde el menú de inicio, escribiendo «configuración» y abriendo la aplicación «Configuración»:

Pulsaremos en «Privacidad y seguridad» y en «Seguridad del dispositivo»:

Veremos que «Aislamiento del núcleo» está activado. Para mayor detalle pulsaremos en «Detalles de aislamiento del núcleo»:

Comprobando que, efectivamente, en equipos Windows 11 está activado por defecto:

Para el caso de equipos con Windows 10, deberemos activarlo manualmente. Para ello, en primer lugar instalaremos la característica «Espacio aislado de Windows». Podremos hacerlo desde el Panel de control, pulsando en «Programas y características»:

Y en «Activar o desactivar las características de Windows»:

Marcaremos la característica «Espacio aislado de Windows» y pulsaremos «Aceptar»:

La instalación de esta característica requiere del reinicio del equipo. Pulsaremos en «Reiniciar ahora»:

Una vez reiniciado el equipo, podremos activar la Integridad de memoria, tal y como hemos indicando al principio de esta sección.

Windows Sandbox Espacio aislado de Windows

Una vez instalada la característica «Espacio aislado de Windows» dispondremos también, de forma gratuita, de la herramienta Windows Sandbox:

Se abrirá un equipo virtual con Windows 11, limpio, sin ninguna configuración. Dispondremos, por defecto, de red, por lo que podremos navegar. Al equipo virtual se le asignarán 4GB de RAM. Podremos copiar programas y documentos desde nuestro equipo «anfitrión» al equipo virtual (con Copiar-Pegar). En este ejemplo hemos navegado a varias páginas web y hemos abierto una aplicación (que previamente hemos copiado y pegado en la sandbox):

La gran ventaja de usar la sandbox es que se ejecuta en un entorno aislado de la máquina anfitriona (nuestro PC), por lo que nos servirá para ejecutar, de forma segura, aplicaciones que consideremos de dudosa procedencia, también para acceder a sitios web que puedan ser peligrosos. Hay que tener en cuenta que, por defecto, la máquina virtual sandbox se crea con red, con lo cual, desde la máquina se tendrá acceso a los equipos de la red, incluido el propio equipo anfitrión. Por ello, si queremos ejecutar aplicaciones poco seguras o dudosas, lo recomendable es desactivar la red de la sandbox antes de ejecutarlas.

Al cerrar la consola de la sandbox se limpiará cualquier configuración que hayamos establecido, por lo que la máquina virtual quedará completamente limpiar para una próxima ejecución. Al cerrar la sandbox nos mostrará el mensaje:

La configuración de red que establece para la Windows Sandbox o Espacio aislado de Windows es:

  • Dirección IP: 172.27.86.15.
  • Máscara de subred: 255.255.240.0.
  • Puerta de enlace: 172.27.80.1.
  • Servidor DHCP: 172.27.80.1.

Por supuesto, se pueden configurar determinadas opciones de Windows Sandbox, como indicamos a continuación.

Fichero de configuración .wsb para ejecutar una conexión a Escritorio Remoto de forma automática al iniciar la Sandbox

Se pueden automatizar y configurar multitud de opciones en la ejecución de una Windows Sandbox, para ello, será suficiente con crear un fichero con extensión .wsb y formato XML. Por ejemplo, para que al iniciarse la Sandbox conecte directamente con un servidor RDP (de Escritorio Remoto), aplicaremos los siguientes pasos.

En primer lugar, crearemos una carpeta en el equipo anfitrión (nuestro PC) y dentro de esta carpeta crearemos un fichero .rdp con todas las opciones de la conexión RDP que queramos. Para ello, abriremos mstsc.exe:

Y estableceremos las opciones de conexión al servidor de Escritorio remoto:

Una vez establecidas las opciones pulsaremos en «Guardar como…» y guardaremos el fichero de conexión .rdp en la carpeta creada anteriormente, en nuestro caso lo guardaremos con el nombre srvfacturacion.rdp, en la carpeta D:\Mis documentos\ProyectoA\Sandbox\Accesos_Sandbox:

En otra carpeta (puede ser en un nivel inferior para que el fichero .wsb no se mapee a la sandbox, pues no es necesario), crearemos un fichero con extensión .wsb, por ejemplo con el nombre facturacion.wsb y el siguiente contenido:

Lo que estamos indicando en el fichero anterior es que cuando se cargue la Windows Sandbox con este fichero de configuración, mapee la carpeta de nuestro PC D:\Mis documentos\ProyectoA\Sandbox\Accesos_Sandbox a la carpeta del escritorio del usuario de la máquina virtual y a la subcarpeta «Accesos». A continuación, le indicamos que lance el comando:

Por lo que se ejecutará Conexión a Escritorio remoto (mstsc.exe) en el entorno aislado (sandbox), pasándole como parámetro el fichero «srvfacturacion.rdp» con la configuración de la conexión al servidor de Escritorio Remoto «srvrfacturacion». Al ejecutarse la sandbox conectará directamente con este servidor.

Para ejecutar la sandbox usando este fichero de configuración facturacion.wsb, únicamente tendremos que hacer doble clic sobre él (o botón derecho y «Abrir con» – «Espacio aislado de Windows»):

Al iniciarse el Espacio aislado Windows (sandbox) se creará una carpeta en el escritorio llamada «Accesos» que contendrá el fichero facturacion.rdp, y se ejecutará el comando para conectar directamente con el servidor de Escritorio Remoto:

Una de las ventajas de conectar a servidores de escritorio remoto y a recursos de red mediante el Espacio aislado de Windows es que las credenciales de acceso no quedarán almacenadas en la memoria del equipo anfitrión, por lo que en caso de que nuestro equipo se vea afectado por un incidente de seguridad (una intrusión), el atacante no podrá volcar credenciales de acceso de la memoria del equipo, puesto que se han usado en el Espacio aislado.

Establecer memoria RAM para la sandbox y desactivar la redirección del portapapeles

Otro ejemplo de configuración, en el fichero .wsb anterior (o en otro) podremos añadir las siguientes líneas:

De forma que estableceremos 8GB de memoria RAM para la máquina virtual Windows Sandbox y desactivaremos la redirección del portapapeles, de forma que no podremos copiar/pegar nada desde nuestro equipo al equipo aislado. El fichero anterior completo con estas opciones quedaría:

Se le asignarán 8GB de RAM a la sandbox:

Establecer memoria RAM para la sandbox y desactivar la redirección del portapapeles

Instalar una aplicación en la máquina Windows Sandbox al iniciar de forma automática

Usando un script cmd (o también PowerShell) podremos, por ejemplo, ejecutar el instalador de cualquier aplicación que lo permita, de forma que al iniciarse la sandbox el programa quede instalado automáticamente. Como ejemplo, instalaremos 7-Zip. En primer lugar descargaremos el instalador del programa en una carpeta del equipo anfitrión (nuestro PC), por ejemplo en:

D:\Mis documentos\ProyectoA\Sandbox\Accesos_Sandbox\Instaladores

En este caso el fichero instalador será 7z2408-x64.exe, descargado de la web oficial de 7-Zip. Por otra parte, crearemos un fichero .cmd para que lance dicho instalador con los parámetros necesarios para que sea una instalación silenciosa (sin intervención del usuario). Crearemos este script .cmd en la misma carpeta que el instalador o en una carpeta anterior (da igual donde quede guardado siempre y cuando sea en una carpeta que mapearemos a la sandbox posteriormente). En nuestro caso, si tenemos el instalador en:

D:\Mis documentos\ProyectoA\Sandbox\Accesos_Sandbox\Instaladores

Guardaremos el fichero de script instalar_7zip.cmd en la carpeta:

D:\Mis documentos\ProyectoA\Sandbox\Accesos_Sandbox

Con el siguiente contenido:

Lo único que hará el script, en este caso, es ejecutar el instalador en la carpeta mapeada de la sandbox con el argumento /S para que realice la instalación de 7-Zip sin que el usuario tenga que intervenir.

Por último, crearemos el fichero .wsb en una carpeta de un nivel que no vayamos a mapear a la sandbox, por ejemplo en:

D:\Mis documentos\ProyectoA\Sandbox\

Con el siguiente contenido:

El fichero XML anterior básicamente mapea/redirecciona la carpeta de local

D:\Mis documentos\ProyectoA\Sandbox\Accesos_Sandbox

A la carpeta de la sandbox:

C:\Users\WDAGUtilityAccount\Desktop\Accesos

Y ejecuta el fichero mapeado en la carpeta «Accesos»:

C:\Users\WDAGUtilityAccount\Desktop\Accesos\instalar_7zip.cmd

Para el ejemplo que nos ocupa, lo guardaremos con el nombre facturacion.wsb. Y ya lo tenemos listo para ejecutarse:

Comprobando que se lanza el script e instala 7-Zip en Windows Sandbox de forma automática y transparente para el usuario: