Algunos clientes han reportado problemas relacionados con las máquinas con Windows 10 que tardan en iniciarse o en el inicio de algunos servicios que no se iniciaron después de instalar Sophos Intercept X o Exploit Prevention.

Esto solo afecta a las máquinas que ejecutan Windows 10 Redstone 3 (versión 1709, actualización de Fall Creators) o posterior.

Sophos ha investigado y ha encontrado que la causa de este problema se debe a Windows Defender Exploit Guard, a saber, su funcionalidad 'Code Integrity Guard', comprobando de forma activa la integridad y la firma de algunos componentes de Sophos que están interactuando legítimamente con 'svchost.exe 'durante el uso del día a día. Este problema solo se producirá si 'Code Integrity Guard' está configurado en modo de auditoría.


Aunque la causa de este problema se encuentra fuera de la infraestructura controlada de Sophos, estamos buscando realizar cambios en nuestro producto para mitigar este problema en una versión futura.


Se aplica a los siguientes productos y versiones de Sophos

Central Windows Endpoint Intercept X 2.0.8 

Sophos Exploit Protection 



Qué hacer

La resolución actual para este problema es deshabilitar 'Code Integrity Guard'; los pasos a continuación cubren esto:

  1. Abra el "Centro de seguridad de Windows Defender"
  2. Ir a "Control de aplicación y navegador"
  3. Desplácese hacia abajo y haga clic en "Configuraciones de protección contra exploits"
  4. Haga clic en "Configuración del programa".
  5. Espere a que la lista de aplicaciones se complete, esto puede llevar algún tiempo.
  6. Desplácese hacia abajo hasta que encuentre "svchost.exe"
  7. Presiona "editar"
  8. Compruebe si "Code Integrity Guard" está habilitado en el modo "Sólo auditoría". Si está habilitado, desactívelo (desmarque "Anular configuración del sistema").
  9. También puede ayudar a deshabilitar "Protección de código arbitrario" (si está en modo "Sólo auditoría"), pero no debería ser estrictamente necesario.
  10.  Haga clic en "aplicar" para guardar los cambios.
  11.  Reinicie la máquina.

Después de este cambio, el problema ya no debería ocurrir.

Para organizaciones más grandes, puede ser necesario deshabilitar esto en una escala mayor. Esto se puede realizar a través de políticas de grupo y se documenta en la siguiente documentación de Microsoft.


importar, exportar y desplegar configuraciones de protección de exploits


Deshabilitar este modo de "Sólo auditoría" no debería afectar la seguridad del sistema, ya que esta funcionalidad solo monitorea y no protege activamente las aplicaciones.


Saludos