Kaspersky Embedded Systems Security para Windows proporciona la capacidad de proteger la memoria del proceso de exploits. Esta función se implementa en el componente Prevención de exploits. Puede cambiar el estado de actividad del componente y configurar las opciones de protección de memoria del proceso.
El componente protege la memoria de un proceso contra los exploits a través de un Agente de protección externo ("Agente de protección") insertado en el proceso protegido.
Un Agente de protección de proceso es un módulo de Kaspersky Embedded Systems Security para Windows cargado dinámicamente que se introduce en procesos protegidos para supervisar su integridad y reducir el riesgo de ataques de exploit.
La operación del Agente dentro del proceso protegido requiere iniciar y detener el proceso: la carga inicial del Agente en un proceso agregado a la lista de procesos protegidos solo es posible si el proceso se reinicia. Además, después de que un proceso se elimina de la lista de procesos protegidos, el Agente solo se puede descargar después de que el proceso se reinicie.
El Agente se debe detener para descargarlo de los procesos protegidos: si el componente Prevención de exploits no está instalado, la aplicación congela el entorno y fuerza la descarga del Agente de los procesos protegidos. Si durante la desinstalación del componente se inserta el Agente en alguno de los procesos protegidos, usted debe finalizar el proceso afectado. Es posible que se deba reiniciar el dispositivo protegido (por ejemplo, si el proceso del sistema está protegido).
Si se detectan pruebas de un ataque de exploit en un proceso protegido, Kaspersky Embedded Systems Security para Windows realiza una de las siguientes acciones:
Puede detener la protección del proceso con uno de los siguientes métodos:
Servicio de Kaspersky Security Exploit Prevention
Se requiere el servicio de Kaspersky Security Exploit Prevention en el dispositivo protegido para que el componente Prevención de exploits sea más efectivo. Este servicio y el componente Prevención de exploits son parte de la instalación recomendada. Durante la instalación del servicio en el dispositivo protegido, se crea y se inicia el proceso kavfswh. Esto comunica la información sobre los procesos protegidos del componente al Agente de protección.
Después de que el servicio de Kaspersky Security Exploit Prevention se detiene, Kaspersky Embedded Systems Security para Windows continúa protegiendo los procesos agregados a la lista de procesos protegidos, y también se carga en procesos agregados recientemente y se aplican todas las técnicas de prevención de exploits disponibles para proteger la memoria del proceso.
Si su dispositivo ejecuta el sistema operativo Windows 10 o posterior, la aplicación no continuará protegiendo los procesos y la memoria del proceso una vez que se haya detenido el servicio de Kaspersky Security Exploit Prevention.
Si el servicio de Kaspersky Security Exploit Prevention se detiene, la aplicación no recibirá información sobre eventos que ocurren con procesos protegidos (incluida información sobre ataques de exploits y cancelación de procesos). Además, el Agente no podrá recibir la información sobre la configuración de protección nueva y la adición de procesos nuevos a la lista de procesos protegidos.
Modo de Prevención de exploits
Puede seleccionar uno de los modos siguientes para configurar acciones tomadas para reducir los riesgos de que las vulnerabilidades sufran ataques de exploits en procesos protegidos:
Cuando se detecta un intento de realizar un ataque de exploit en una vulnerabilidad de un proceso del sistema operativo crítico protegido, Kaspersky Embedded Systems Security para Windows no cancela el proceso, independientemente del modo indicado en la configuración del componente Prevención de exploits.
Si selecciona este modo, Kaspersky Embedded Systems Security para Windows crea eventos para registrar todos los intentos de realizar un ataque de exploit en vulnerabilidades. Seleccionado por defecto.