Exportar (0) Imprimir
Expandir todo

Mejoras de seguridad de Windows 7

http://technet.microsoft.com/windows/dd361745.aspx?ITPID=article

La seguridad sigue siendo una de las principales preocupaciones para los profesionales de TI; ahora que Windows® 7 Beta está disponible, abundan las preguntas acerca de lo que Microsoft ha hecho con el sistema operativo Windows 7. Hay mucho terreno que cubrir, más de lo que es posible en un artículo breve, pero hay tres temas principales que ameritan atención.

  • Windows 7 está generado sobre los mismos cimientos de seguridad del sistema operativo Windows Vista®, a la vez que mejora la auditoría y la experiencia de Control de cuentas de usuario (UAC).
  • Windows 7 ayuda a TI a controlar el software que se puede ejecutar en su entorno mediante AppLocker™.
  • Windows 7 mejora las características fundamentales de Cifrado de unidad BitLocker™ con la introducción de BitLocker To Go™ para dispositivos de almacenamiento extraíbles.

Observemos cada uno de estos temas con un poco más de detalle.

Entorno fundamentalmente seguro

Windows 7 se basa en el sólido linaje de seguridad de Windows Vista, además que retiene y se genera sobre los procesos y tecnologías de desarrollo que han hecho de Windows Vista la versión más segura de cliente Windows hasta la fecha. Las características de seguridad fundamentales, como Kernel Patch Protection, sistema de protección de servicios, prevención de ejecución de datos, selección aleatoria del diseño del espacio de direcciones y niveles de integridad obligatorios, siguen brindando protección mejorada contra malware y ataques. Windows 7 se ha diseñado e implementado mediante el ciclo de vida de desarrollo de seguridad (SDL) de Microsoft , y se le ha realizado ingeniería para admitir requisitos de criterios comunes y para lograr la certificación de garantía de evaluación nivel 4 y cumplir con el estándar federal de procesamiento de información 140-2.

Auditoría mejorada

Windows 7 ofrece capacidades de auditoría mejorada para facilitar a las organizaciones el cumplimiento de sus requisitos reglamentarios y de negocios. Las mejoras de auditoría comienzan con un enfoque de administración simplificado para auditar configuraciones y terminan con mayor visibilidad de lo que ocurre al interior de la organización. Por ejemplo, Windows 7 ofrece un entendimiento más claro de las razones por las que alguien ha recibido o se le ha negado acceso a información específica, así como visibilidad de los cambios realizados por personas o grupos específicos.

Control de cuentas de usuario simplificado

El control de cuentas de usuario (UAC) se introdujo en Windows Vista para ayudar a aplicaciones heredadas a ejecutarse con derechos de usuario estándar y ayudar a los ISV a adaptar su software para que funcione bien con derechos de usuario estándar. Windows 7 continúa la inversión en UAC con cambios específicos para mejorar la experiencia de usuario. Estos cambios incluyen reducir el número de aplicaciones de sistema operativo y de tareas que exigen privilegios administrativos, así como proporcionar un comportamiento de petición de consentimiento flexible para usuarios que continúan ejecutándose con privilegios administrativos. Como resultado, los usuarios estándar pueden hacer más que nunca y todos los usuarios ven menos peticiones.

AppLocker

Windows 7 revitaliza las directivas de control de aplicaciones con AppLocker, un mecanismo flexible y fácil de administrar que permite a TI especificar exactamente lo que se permite ejecutar en la infraestructura de escritorio, y brinda a los usuarios la capacidad de ejecutar las aplicaciones, los programas de instalación y los scripts que necesitan para ser productivos. Como resultado, TI puede aplicar la estandardización de aplicaciones dentro de la organización a la vez que ofrece beneficios de seguridad, operativos y de cumplimiento.

AppLocker ofrece una estructura simple y sólida mediante tres tipos de reglas: “permiso”, “denegación” y “excepción”. Las reglas de permiso limitan la ejecución de aplicaciones a aplicaciones “válidas conocidas” y bloquean todas las demás. Las reglas de denegación toman el enfoque opuesto y permiten la ejecución de cualquier aplicación, excepto las incluidas en una lista de aplicaciones “con errores conocidos”. Aunque probablemente muchas empresas usan una combinación de reglas de permiso y de denegación, la implementación ideal de AppLocker usa reglas de permiso con excepciones integradas. Las reglas de excepción excluyen archivos de una regla de permiso o denegación que normalmente estarían incluidos. Mediante el uso de excepciones, es posible, por ejemplo, crear una regla para “permitir que se ejecute todo dentro del sistema operativo Windows, excepto los juegos integrados”. El uso de reglas de permiso con excepciones ofrece una manera robusta de crear una “lista de aplicaciones válidas conocidas” sin la necesidad de crear un número exorbitante de reglas.

AppLocker introduce reglas de publicador basadas en firmas digitales de la aplicación. Las reglas de publicador permiten generar reglas que sobreviven a las actualizaciones de aplicaciones, dado que se pueden especificar atributos como la versión de una aplicación. Por ejemplo, una organización puede crear una regla para “permitir que todas las versiones superiores a 9.0 del programa Acrobat Reader se ejecuten si están firmadas por el publicador de software Adobe”. De esta forma, cuando Adobe actualice Acrobat, se puede excluir la actualización de la aplicación con seguridad, sin tener que generar otra regla para la nueva versión de la aplicación.

Las reglas de AppLocker también se pueden asociar con un usuario o grupo específico al interior de una organización. Esto ofrece controles pormenorizados que permiten admitir requisitos de cumplimiento, mediante la validación y la aplicación de los usuarios que pueden ejecutar aplicaciones específicas. Por ejemplo, se puede crear una regla para “permitir que las personas del departamento de finanzas ejecuten la línea de finanzas de las aplicaciones de negocios”. Esto impide que cualquier persona que no pertenezca al departamento de finanzas ejecute aplicaciones financieras (incluidos los administradores), pero permite el acceso a personas que tengan necesidades de negocios de ejecutar las aplicaciones.

AppLocker ofrece una experiencia robusta para administradores de TI mediante nuevas herramientas y asistentes de creación de reglas. Mediante un enfoque paso a paso y ayuda plenamente integrada, la generación de nuevas reglas, la generación automática de reglas y la importación o exportación de reglas es intuitiva y se mantiene fácilmente. Por ejemplo, los administradores de TI pueden generar automáticamente reglas mediante una máquina de referencia de prueba y después importar las reglas a un entorno de producción para su implementación general. El administrador de TI también puede exportar directivas para proporcionar una copia de seguridad de la configuración de producción, o para proporcionar documentación para propósitos de cumplimiento.

BitLocker y BitLocker To Go

Cada año, cientos de miles de equipos sin las correspondientes medidas de seguridad se pierden, se decomisan o son robados. Sin embargo, la pérdida o el robo de datos no es simplemente un problema de los equipos físicos. Unidades flash USB, correo electrónico, documentación perdida, etc., son todos medios a través de los cuales ciertos datos pueden caer en manos incorrectas. Windows 7 aborda la amenaza constante de pérdida de datos con actualizaciones de administración e implementación de Cifrado de unidad Bitlocker, así como la introducción de BitLocker To Go, que ofrece una protección mejorada contra robo y exposición de datos extendiendo el soporte de BitLocker a dispositivos de almacenamiento extraíbles.

El Cifrado de unidad Bitlocker (también llamado simplemente BitLocker) ayuda a impedir que un ladrón que arranque otro sistema operativo o que ejecute una herramienta de piratería de software traspase las protecciones de archivos y sistemas de Windows 7, o que pueda ver sin conexión los archivos almacenados en la unidad protegida. BitLocker de Windows 7 comparte los mismos beneficios fundamentales de BitLocker de Windows Vista; sin embargo, la funcionalidad fundamental de BitLocker de Windows 7 se ha mejorado, para proporcionar una mejor experiencia para profesionales de TI y usuarios finales. Para clientes que no implementaron Windows Vista con la configuración de disco de dos particiones requerida por BitLocker, volver a particionar la unidad para habilitar BitLocker fue más engorroso de lo que era necesario. Windows 7 crea automáticamente las particiones de disco necesarias durante la instalación, para simplificar significativamente las implementaciones de BitLocker. Otro cambio de BitLocker de Windows 7 es la capacidad para habilitar la protección de BitLocker haciendo clic con el botón secundario del mouse sobre una unidad.

BitLocker de Windows 7 agrega soporte de Agente de recuperación de datos para todos los volúmenes protegidos. El soporte de Agente de recuperación de datos, una gran solicitud de nuestros clientes, permite a TI ordenar que todos los volúmenes protegidos de BitLocker (el sistema operativo, volúmenes fijos y los nuevos volúmenes portátiles) se cifren con un Agente de recuperación de datos adecuado. El Agente de recuperación de datos es un nuevo protector de clave que se escribe en cada volumen de datos para que los administradores autorizados de TI siempre tengan acceso a volúmenes protegidos de BitLocker.

BitLocker To Go extiende el soporte de BitLocker a dispositivos de almacenamiento extraíbles, incluidas unidades flash USB y unidades de disco portátiles. BitLocker To Go también brinda a los administradores el control sobre cómo se pueden usar los dispositivos de almacenamiento extraíbles dentro de su entorno y el nivel de protección que necesitan. Los administradores pueden requerir protección de datos para cualquier dispositivo de almacenamiento extraíble en el que usuarios deseen escribir datos, a la vez que se sigue permitiendo el uso de dispositivos de almacenamiento desprotegidos en modo de sólo lectura. También hay directivas disponibles para exigir contraseñas adecuadas, tarjetas inteligentes o credenciales de dominio de usuario para utilizar un dispositivo de almacenamiento extraíble protegido.

BitLocker To Go se puede utilizar por sí solo, sin necesidad de que la partición del sistema esté protegida con la característica BitLocker tradicional. Por último, BitLocker To Go ofrece soporte de sólo lectura para dispositivos extraíbles en versiones más antiguas del sistema operativo Windows, lo que permite que los usuarios compartan archivos con mayor seguridad con personas que aún ejecutan Windows Vista y Windows XP con el Lector de BitLocker To Go.

Ya sea que viaje con su equipo portátil, que comparta archivos grandes con un asociado de confianza o que se lleve trabajo a casa, BitLocker y BitLocker To Go ayudan a asegurar que sólo usuarios autorizados puedan leer los datos, aunque los medios se pierdan, los roben o se usen de manera indebida de alguna otra forma.

Conclusión

Generado sobre los cimientos de seguridad de Windows Vista, Windows 7 introduce varias mejoras de seguridad para brindar a los usuarios la confianza de que Microsoft sigue buscando mejores formas de proteger las inversiones de TI de los usuarios así como sus datos. El negocio se beneficia de las mejoras que ayudan a proteger la información confidencial de la compañía, que proporcionan protecciones más sólidas contra malware y que ayudan a garantizar el acceso a recursos y datos corporativos. Los usuarios finales pueden disfrutar de los beneficios de los equipos y de Internet sabiendo que Windows 7 usa nuevas tecnologías y características para proteger la privacidad y la información personal. Finalmente, todos los usuarios se benefician de las opciones de configuración de seguridad flexibles de Windows 7, opciones que ayudarán a los usuarios a lograr el equilibrio exclusivo de seguridad y posibilidades de uso para satisfacer sus necesidades específicas.

¿Te ha resultado útil?
(Caracteres restantes: 1500)
Gracias por sus comentarios
Mostrar:
© 2014 Microsoft