Windows Vista
Proteja su PC con las nuevas características de seguridad de Windows Vista
Justin Harrison
Resumen:
- Uso del Centro de seguridad de Windows
- Configuración y administración del control de cuenta de usuario
- Detección de software espía con Windows Defender
Hace varios años, el presidente de Microsoft (y entonces arquitecto jefe de software), Bill Gates, apeló a los empleados para hacer de la computación confiable la mayor prioridad de la compañía. Junto con este anuncio, se produjeron una serie de cambios en la forma en la que Microsoft desarrollaba el software.
Windows Vista™ es el primer sistema operativo totalmente desarrollado según las directrices del ciclo de vida de desarrollo seguro (SDL, Security Development Lifecycle), un proceso de ingeniería orientado a la seguridad diseñado para hacer que ésta forme parte de la esencia del diseño de software. Todos los productos de Microsoft de amplia implementación deben seguir estas directrices. (Para obtener más información sobre SDL, consulte el libro The Security Development Lifecycle, de Michael Howard y Steve Lipner, Microsoft Press®, 2006).
Windows Vista también incluye tecnologías de seguridad integradas nuevas o actualizadas que trabajan de forma activa en la detección y prevención de amenazas de seguridad. Todos estos cambios significan que Windows Vista es la versión más segura de Windows® hasta el momento. En este artículo explicaré el nuevo subprograma de seguridad del Panel de control, el Centro de seguridad de Windows y la protección integrada, que incluye Windows Defender, Firewall de Windows y el control de cuenta de usuario.
Panel de control de seguridad
Al abrir el Panel de control en Windows Vista, observará que está organizado en diez áreas de funcionalidad, con la mayoría de los subprogramas relacionados con la seguridad repartidos entre Seguridad, Programas, y Red e Internet. Puede usar el subprograma Seguridad para obtener acceso a muchas de las nuevas tecnologías de seguridad que le protegen en Windows Vista, como se muestra en la figura 1.
Figure 1 Tecnologías de seguridad en Windows Vista
| Función | Descripción |
| Centro de seguridad | Comprueba las actualizaciones; comprueba el estado de seguridad; activa la actualización automática; comprueba el estado del servidor de seguridad; requiere una contraseña para activarse. |
| Firewall de Windows | Activa o desactiva Firewall de Windows; permite que un programa atraviese Firewall de Windows. |
| Windows Update | Activa la actualización automática; comprueba las actualizaciones; muestra las actualizaciones instaladas. |
| Windows Defender | Detecta software espía y otras aplicaciones no deseadas. |
| Opciones de Internet | Cambia la configuración de seguridad; elimina las cookies; borra el historial. |
| Control parental | Establece control parental para cualquier usuario; muestra informes de actividad. |
| Cifrado de unidad Bitlocker | Activa el cifrado de unidad Bitlocker. |
También puede buscar actualizaciones de Windows, activar el cifrado de unidad BitLocker™, eliminar cookies, borrar el historial y establecer una contraseña para que su equipo la solicite al activarse.
El subprograma Seguridad también facilita el acceso al Centro de seguridad, una ubicación integral que puede usar para administrar y comprobar el estado de la configuración de seguridad y la protección integrada de su equipo.
Seguridad centralizada
Hasta la llegada del Centro de seguridad en Windows XP Service Pack 2 (SP2), abordar todas las configuraciones de seguridad de Windows era difícil. Ahora, el Centro de seguridad es todo cuanto necesita para administrar las configuraciones importantes de seguridad de Windows en un lugar, y es incluso más útil en Windows Vista.
El Centro de seguridad de Windows se ejecuta en segundo plano y supervisa de forma activa cuatro categorías de funcionalidad, como se muestra en la figura 2: servidor de seguridad, actualizaciones automáticas, protección contra código malintencionado (virus y software espía) y otras configuraciones de seguridad (la configuración de Internet y del control de cuenta de usuario).
Figure 2** Administración de configuraciones importantes de seguridad en un lugar **(Hacer clic en la imagen para ampliarla)
Con el Centro de seguridad de Windows, puede ver qué aplicación actúa como servidor de seguridad o como solución antivirus o anti spyware de su equipo. También puede comprobar el estado del servidor de seguridad, las actualizaciones automáticas y la configuración del control de cuenta de usuario. El Centro de seguridad de Windows es único porque supervisa el estado de aplicaciones de terceros además de tecnologías integradas de Windows. Comprueba los siguientes elementos:
- Si hay un servidor de seguridad instalado y si está activado.
- Si hay un programa antivirus instalado, las definiciones están actualizadas y el examen en tiempo real está habilitado.
- Si hay un programa anti spyware instalado, las definiciones están actualizadas y el examen en tiempo real está habilitado.
El Centro de seguridad de Windows hace uso de dos enfoques para detectar aplicaciones de servidor de seguridad y antivirus de terceros. En modo manual, el Centro de seguridad de Windows busca archivos y claves del Registro que le permiten detectar el estado del software. También consulta los proveedores del Instrumental de administración de Windows (WMI, Windows Management Instrumentation), ofrecidos por los proveedores participantes que devuelven el estado de las características. Esto significa que puede usar soluciones que no sean de Microsoft como antivirus, anti spyware o servidor de seguridad, y seguir utilizando el Centro de seguridad de Windows para supervisar y proteger su equipo.
El Centro de seguridad de Windows se puede controlar mediante la directiva de grupo. De forma predeterminada, está desactivada en los entornos del dominio. Para activar el Centro de seguridad de Windows, entre en el nodo Configuración del equipo\Plantillas administrativas\Componentes de Windows\Centro de seguridad. El nombre de la directiva que debe activar es Activar Centro de seguridad (sólo en equipos del dominio).
El Centro de seguridad de Windows también supervisa el estado de la configuración del control de cuenta de usuario y de la configuración de seguridad de Internet. El control de cuenta de usuario le permite utilizar el equipo como usuario estándar en lugar de como administrador, lo que resulta mucho más seguro. Como usuario estándar, cualquier cambio que realice no afectará a todo el sistema y el daño de cualquier software que instale será limitado.
En Windows Vista, si se ejecuta como usuario estándar en un equipo que no forma parte de un dominio y el software necesita realizar una acción que afecta a todo el sistema, el SO solicitará la contraseña de una cuenta de administrador. Si se ejecuta como administrador, Windows Vista solicitará permiso para ejecutar la acción en todo el sistema, para que esté al corriente de la acción (y dé su consentimiento) antes de que se lleve a cabo.
El control de cuenta de usuario está administrado por la directiva de grupo en un entorno del dominio. Si su equipo no forma parte de un dominio, queda al cargo de la directiva de seguridad local. La configuración de directivas se encuentra en Configuración del equipo\Configuración del sistema\Directivas locales\Opciones de seguridad en el editor de directivas de seguridad local o en el editor de directivas de grupo. Encontrará el editor de directivas de seguridad local en el Panel de control en Sistema y mantenimiento | Herramientas administrativas.
Como se muestra en la figura 3, el Centro de seguridad de Windows observa una serie de opciones de seguridad de Internet.
Figure 3 Configuración de seguridad de Internet
| El Centro de seguridad de Windows supervisa estas configuraciones de Internet: |
| Descargar controles ActiveX firmados |
| Descargar controles ActiveX sin firmar |
| Inicializar secuencia de comandos y controles ActiveX no marcados como seguros para secuencias de comandos |
| Instalación de elementos de escritorio |
| Inicio de aplicaciones y archivos no seguros |
| Inicio de programas y archivos en un IFRAME |
| Permisos de canal de software |
Si una opción cambia a un estado que no es seguro, el cuadro de diálogo Propiedades de Internet indicará que la configuración de seguridad pone en riesgo el equipo, y Microsoft Internet Explorer® mostrará una barra de información para indicar que la configuración de seguridad actual pone en riesgo el equipo, y solicita al usuario que haga clic para cambiar la configuración de seguridad. El Centro de seguridad de Windows también le notifica que no está usando la configuración de seguridad recomendada. Si abre Configuración de seguridad de Internet, la configuración no segura se resaltará en rojo (consulte la figura 4).
Figure 4** Una configuración no segura resaltada **(Hacer clic en la imagen para ampliarla)
El Centro de seguridad de Windows puede restaurar una configuración de seguridad no segura a un estado seguro. Esto se consigue al hacer clic en Restaurar mi configuración de seguridad de Internet ahora, como se muestra en la figura 5.
Figure 5** Eliminación de una configuración arriesgada **(Hacer clic en la imagen para ampliarla)
Windows Defender
Los rootkits, los caballos de Troya, el software espía y otros tipos de software malintencionados se han convertido en un grave problema. Ponen en riesgo su información, disminuyen el rendimiento del equipo y pueden provocar bloqueos del sistema. Microsoft adquirió Giant Software en 2004 con el fin de proporcionar tecnología anti spyware para proteger a los clientes. Puede encontrar esta nueva tecnología integrada en Windows Vista como Windows Defender (que también está disponible como descarga para Windows XP).
Después de instalar Windows Vista, no tiene que cambiar la configuración de Windows Defender inmediatamente. Como Windows Defender viene configurado para proporcionar la máxima seguridad con la mínima interrupción, puede concentrarse en usar su equipo en lugar de protegerlo. Windows Defender proporciona protección en tiempo real en cuanto se inicia, comprueba y descarga automáticamente las definiciones actualizadas de software espía todas las noches a las 02:00 horas, y elimina de forma automática todos los riesgos de grandes amenazas. Puede ajustar la configuración mediante Herramientas | Configuración general en Windows Defender.
La protección en tiempo real significa que Windows Defender observa detenidamente el comportamiento sospechoso en el equipo en todo momento. Usa los nueve agentes de seguridad que aparecen en la figura 6 para supervisar distintas partes del sistema en busca de comportamiento de aplicaciones característico del software espía. Juntos, los agentes de seguridad de Windows Defender supervisan casi todos los puntos de entrada comunes del software espía.
Figure 6 Agentes de seguridad de Windows Defender
| Agente | Supervisa |
| Configuración de Internet Explorer | Configuración de seguridad del explorador. |
| Descargas de Internet Explorer | Aplicaciones que funcionan con Internet Explorer, como controles ActiveX y aplicaciones de instalación de software. |
| Complementos de Internet Explorer (objetos auxiliares de explorador) | Aplicaciones que se ejecutan automáticamente al iniciar Internet Explorer. |
| Inicio automático | Aplicaciones que se inician al iniciarse Windows, incluidas aplicaciones que se inician a través del Registro y la carpeta de inicio de Windows. |
| Configuración del sistema | Configuración relacionada con seguridad en Windows. |
| Servicios y controladores | Servicios y controladores mientras interactúan con Windows y aplicaciones. |
| Complementos de Windows | Utilidades de software que se integran con Windows. |
| Ejecución de aplicaciones | Aplicaciones cuando se inician y su ejecución. |
| Registro de aplicaciones (enlaces API) | Archivos y herramientas del sistema operativo donde las aplicaciones se pueden insertar para ejecutarse. |
Respuesta ante amenazas
Windows Defender le avisa cuando encuentra aplicaciones no deseadas o cuando detecta un comportamiento sospechoso. Cuando se producen cambios inofensivos (de bajo riesgo), Windows Defender le avisa mediante un signo de exclamación en la bandeja de sistema. Para amenazas más graves (de riesgo medio o alto), Windows Defender muestra un cuadro de diálogo amarillo o rojo, según el nivel de la amenaza, como se muestra en la figura 7. Este tipo de amenazas requiere una respuesta inmediata.
Figure 7** La ventana roja indica una amenaza de alto nivel **(Hacer clic en la imagen para ampliarla)
Todas las acciones que realiza Windows Defender se registran en el registro de eventos del sistema con el origen "Windows Defender". Dichas acciones incluyen actualizaciones de definiciones y detecciones y eliminaciones de software espía.
Las alertas de amenazas de Windows Defender son inteligentes, por lo que puede continuar trabajando aunque aparezcan. Pueden aparecer varias amenazas y puede elegir responder a todas ellas ("Quitar todo") en un cuadro de diálogo de alertas de amenazas. También puede configurar alertas de amenazas para reaccionar de manera diferente según las amenazas no clasificadas y el software conocido que está permitido ejecutar. Para configurar alertas de amenazas, abra Windows Defender y haga clic en Herramientas | Opciones. Desplácese hasta "Opciones de protección en tiempo real" y elija si Windows Defender debería notificarle sobre software que aún no ha sido clasificado como peligroso y sobre cambios realizados en el equipo por software que está permitido ejecutar.
Tenga en cuenta que si Windows Defender clasifica de manera incorrecta una aplicación que ha creado o una aplicación que usa, puede archivar una disputa de proveedor en microsoft.com/athome/security/spyware/software/isv/cdform.aspx. Si la aplicación se confunde con software espía, puede informar sobre el falso positivo en microsoft.com/athome/security/spyware/software/isv/fpform.aspx.
Protección a petición
Windows Defender observa detenidamente las aplicaciones no deseadas, pero también puede iniciar exámenes de software espía siempre que lo crea necesario. Windows Defender ofrece tres tipos de exámenes:
- El examen rápido comprueba con rapidez las ubicaciones del equipo en las que es más probable que se instale el software espía.
- El examen completo examina todos los archivos del disco duro, las aplicaciones en ejecución, el Registro y otras ubicaciones.
- El examen personalizado le permite examina archivos o carpetas específicos; ejecuta automáticamente un examen rápido al comienzo.
Para iniciar un examen, abra Windows Defender y haga clic en la fecha abajo junto al botón Examinar. A continuación, seleccione el tipo de examen que le gustaría iniciar, como se muestra en la figura 8.
Figure 8** Elección de un tipo de examen **(Hacer clic en la imagen para ampliarla)
Cuando Windows Defender detecta una amenaza durante un examen, muestra una descripción de la amenaza y las acciones que puede llevar a cabo para resolverla. De forma predeterminada, muestra la mejor acción que puede realizar. Si se encuentran varias amenazas, puede seleccionar respuestas y aplicarlas todas al mismo tiempo mediante Aplicar acciones, o bien puede eliminar todas las amenazas con Quitar todo. Entre las acciones que se pueden llevar a cabo están:
- Quitar: elimina por completo la amenaza del sistema.
- Omitir: omite la amenaza. La próxima vez que realice un examen, Windows Defender volverá a detectar la amenaza.
- Cuarentena: desactiva de forma temporal la amenaza. Puede usar esta acción para probar si la eliminación de la amenaza tendrá efectos negativos en el sistema. Siempre puede restaurarlo desde Windows Defender.
- Permitir siempre: deja de detectar la amenaza y la agrega a la lista de elementos permitidos. Puede quitar elementos de la lista de elementos permitidos al hacer clic en Herramientas | Opciones en Windows Defender.
Prevención de las intrusiones de red
Firewall de Windows en Windows Vista es un servidor de seguridad con estado bidireccional que contiene muchos avances con respecto a la versión de Windows XP. En Windows Vista, Firewall de Windows filtra tanto el tráfico entrante como el saliente. También se pueden configurar reglas para:
- Grupos y cuentas de Active Directory
- Número de protocolo de IP
- Tipos específicos de interfaces
- Servicios
- ICMP e ICMPv6 por tipo y código
- Direcciones IP de origen y destino
- Todos los puertos TCP o UDP, o los puertos especificados
En Windows Vista, también puede permitir que un programa específico tenga acceso a la red o denegar el tráfico a través de la lista de excepciones. Para obtener acceso a la lista de excepciones, haga clic en Inicio | Panel de control | Seguridad y, a continuación, Permitir un programa a través de Firewall de Windows.
De forma predeterminada, Firewall de Windows bloquea todo el tráfico entrante a menos que sea solicitado o coincida con una regla, y permite todo el tráfico saliente a menos que coincida con una regla.
Windows Vista incluye un nuevo complemento de Microsoft Management Console (MMC) llamado "Firewall de Windows con seguridad avanzada" (consulte la figura 9), que permite a los administradores cambiar la configuración de Firewall de Windows en equipos remotos. Para obtener acceso al nuevo complemento, haga clic en Sistema y mantenimiento y, a continuación, elija Herramientas administrativas en Panel de control y haga clic en Firewall de Windows con seguridad avanzada.
Figure 9** Creación de reglas avanzadas para proteger el equipo de amenazas de red **(Hacer clic en la imagen para ampliarla)
Para agregar una regla, también puede usar el complemento del editor de directivas de grupo para obtener acceso a Configuración del equipo\Configuración de Windows\Configuración de seguridad\Firewall de Windows con seguridad avanzada. Incluso puede definir una nueva configuración de seguridad avanzada desde la línea de comandos mediante netsh advfirewall.
Cada vez que se conecta a una red nueva, Windows Vista crea un perfil sólo para esa red. Cuando vuelve a conectarse a la red, Windows Vista usa la configuración guardada de ese perfil. Una de las primeras cosas que el SO pregunta cuando se conecta a una red nueva es si se trata de una red pública o privada. Esto determina el perfil que Firewall de Windows carga para la configuración y las reglas. Si desea editar los perfiles, haga clic en Propiedades de Firewall de Windows en el complemento Firewall de Windows con seguridad avanzada y, a continuación, haga clic en la ficha Perfil privado o Perfil público, como se muestra en la figura 10.
Si lo desea, puede cambiar el perfil asociado a una red después de conectarse a ella desde el Centro de redes y recursos compartidos. Para ello, vaya a Panel de control | Red e Internet | Centro de redes y recursos compartidos. Para cambiar el perfil de red, haga clic en Personalizar junto al nombre de la red a la que está conectado.
Figure 10** Personalización de la protección basada en tipos de redes **(Hacer clic en la imagen para ampliarla)
Conclusión
Windows Vista es la primera versión completa de sistema operativo desde el anuncio de la iniciativa de computación confiable de hace algunos años. Desarrollado según las directrices del ciclo de vida de desarrollo seguro y con protección integrada como Windows Defender, Firewall de Windows y el control de cuenta de usuario, Windows Vista ofrece una protección sin precedentes tanto para sistemas independientes como para los que forman parte de un dominio. El Centro de seguridad de Windows, Firewall de Windows y el control de cuenta de usuario ofrecen una configuración de directivas de grupo que le permite implementarlos de forma eficaz en su entorno del dominio o configurarlos muy ampliamente de forma local en su equipo personal.
La comunidad SpyNet
Las amenazas de seguridad cambian continuamente y, a veces, incluso las actualizaciones diarias no son suficientes para mantenerse al día de todas las amenazas de seguridad con las que su equipo puede encontrarse. Para una protección más segura que la ofrecida por las actualizaciones de definiciones de software espía, Microsoft también reúne a los usuarios en la comunidad SpyNet, un grupo en línea que comparte información acerca del software espía.
La comunidad Spynet es una comunidad mundial voluntaria de usuarios de Windows Defender que informan a Microsoft sobre software espía que encuentran. Los usuarios que participan en esta comunidad desempeñan una función importante a la hora de determinar qué aplicaciones sospechosas se clasifican finalmente como software espía, y también ayudan a detectar rápidamente las nuevas amenazas para que todos los usuarios de Windows Defender estén mejor protegidos.
La suscripción a la comunidad SpyNet es voluntaria. Debe decidir de forma explícita si desea participar. Puede elegir no convertirse en miembro, en cuyo caso no se enviará información sobre sus posibles infecciones de software espía a SpyNet. Tampoco se le notificará si se encuentra software no clasificado, posiblemente no deseado en su equipo. El software no clasificado, posiblemente no deseado puede clasificarse con el tiempo en las actualizaciones normales de definiciones de software espía.
Si decide participar, hay dos niveles de pertenencia:
Pertenencia avanzada. Los participantes envían información a Microsoft sobre el software no clasificado y las acciones tomadas. Los participantes avanzados reciben alertas sobre software actualmente no clasificado que podría no ser seguro. Puede que se envíe cierta información personal, pero Microsoft no la usará para ponerse en contacto con usted.
Los miembros avanzados reciben estadísticas de eliminación que muestran cómo reaccionaron otros miembros avanzados ante la misma amenaza. Esta información puede ayudarle a tomar una decisión sobre si el software sin clasificar no deseado es peligroso o no. Por ejemplo, si se distribuye una nueva aplicación por Internet y Windows Defender la detecta como sospechosa, algunos usuarios avanzados podrían informar a SpyNet y eliminarla. SpyNet le indicará cuántos miembros avanzados informaron sobre ella y la eliminaron, para que use la información a la hora de tomar una decisión más informada sobre lo que debe hacer.
Pertenencia básica. Se envía información básica sobre software sospechoso a Microsoft. También se puede enviar información personal, pero Microsoft no la usará para ponerse en contacto con usted. Los participantes básicos no reciben alertas sobre el software no clasificado.
Para registrarse en la comunidad Spynet, abra Windows Defender, seleccione Herramientas y haga clic en Microsoft SpyNet.
Justin HarrisonJustin Harrison (justin@harrison.org) es experto en seguridad de Windows, tecnología de medios digitales y documentos digitales. Ha trabajado en GE Energy, y en los equipos Digital Documents y Casual Games en Microsoft.
© 2008 Microsoft Corporation and CMP Media, LLC. Reservados todos los derechos; queda prohibida la reproducción parcial o total sin previa autorización.