Table of contents
TOC
Collapse the table of content
Expand the table of content

Guía de seguridad de Windows 10 Mobile

Alan Meeus|Última actualización: 23/12/2016
|
1 Colaborador

Se aplica a: Windows 10 Mobile, versión 1511 y Windows Mobile, versión 1607

En esta guía se proporciona una descripción detallada de las características de seguridad más importantes del sistema operativo Windows 10 Mobile: control y acceso de identidad, protección de datos, resistencia a malware y seguridad de la plataforma de aplicaciones.

Los smartphones se han convertido en una herramienta de productividad principal para los trabajadores de las empresas y, al igual que los equipos de escritorio y los portátiles, necesitan estar protegidos contra el malware y el robo de datos. Proteger estos dispositivos puede convertirse en un desafío debido a la amplia gama de sistemas operativos en los dispositivos y configuraciones así como el hecho de que muchos empleados usen sus propios dispositivos. El departamento de TI necesita que los activos corporativos estén a salvo, pero también necesita asegurar la privacidad de las aplicaciones y los datos personales del usuario. Windows 10 Mobile aborda estos problemas de seguridad de una forma directa, sin importar si los trabajadores usan sus propios dispositivos o dispositivos corporativos. Usa las mismas tecnologías de seguridad que el sistema operativo Windows 10 con el fin de proteger contra amenazas de seguridad conocidas y emergentes en todo el espectro de vectores de ataque. Estas tecnologías incluyen:

  • Windows Hello para empresas Las funciones de identidad mejorada y control de acceso aseguran que solo los usuarios autorizados pueden acceder a datos y recursos corporativos. Windows Hello simplifica el uso y la implementación de la autenticación multifactor (MFA) al ofrecer métodos de autenticación a través de un PIN, un dispositivo complementario o la biometría.
  • Windows Information Protection La separación automática de los datos evita que los datos corporativos se compartan con los datos personales y las aplicaciones.
  • Resistencia a malware Protección de varias capas integrada en el hardware del dispositivo, los procesos de inicio y la plataforma de aplicaciones ayudan a reducir la amenaza del malware, que puede poner en peligro los dispositivos de los empleados.

Esta guía ayuda a los administradores de TI a entender mejor las características de seguridad en Windows 10 Mobile, que pueden usarse para mejorar la protección contra el acceso no autorizado, la pérdida de datos y el malware.

En este artículo:

  • Windows Hello para empresas
  • Windows Information Protection
  • Resistencia a malware

Windows Hello

Windows 10 Mobile incluye Windows Hello, una sencilla y eficaz solución de autenticación multifactor que confirma la identidad del usuario antes de permitir el acceso a la información confidencial corporativa y a los recursos. La autenticación multifactor es una alternativa más segura que los dispositivos con seguridad basada en contraseña. A los usuarios no les gusta tener que escribir contraseñas largas y complejas (especialmente en la pantalla táctil de los dispositivos móviles) y que la directiva corporativa requiere cambiar con frecuencia. Esto lleva a unos procedimientos de seguridad deficientes como volver a usar la misma contraseña, anotarla o crear una que no sea segura.

Windows Hello ofrece una manera simple y rentable de implementar la autenticación multifactor en toda la organización. A diferencia de las tarjetas inteligentes, no requiere una infraestructura de clave pública o la implementación de hardware adicional. Los trabajadores usan un PIN, un dispositivo complementario (como por ejemplo, Microsoft Band) o la biometría para validar su identidad y acceder a los recursos corporativos en el Azure Active Directory (Azure AD) registrado en su dispositivo Windows 10 Mobile.

Dado que Windows Hello es compatible con todos los dispositivos con Windows 10, las organizaciones pueden implementar la autenticación multifactor de manera uniforme en todo su entorno. La implementación de Windows Hello en los dispositivos Windows 10 Mobile requiere Azure AD (se vende por separado), pero puedes usar Azure AD Connect para sincronizar con los servicios locales de Active Directory.

Windows Hello admite la digitalización de iris, la huella digital y la autenticación basada en el reconocimiento facial para los dispositivos que tienen sensores biométricos.

Nota: Cuando Windows 10 se lanzó inicialmente, incluía Microsoft Passport y Windows Hello, que trabajaban conjuntamente para brindar la autenticación multifactor. Para simplificar la implementación y mejorar la compatibilidad, Microsoft ha reunido estas tecnologías en sola solución llamada Windows Hello. Los clientes que ya hayan implementado estas tecnologías no sufrirán ningún cambio en la funcionalidad. A los clientes que aún tienen que evaluar Windows Hello les resultará más fácil de implementar gracias a la simplificación de las directivas, la documentación y la semántica.

Credenciales seguras

Windows Hello elimina el uso de las contraseñas de inicio de sesión, reduciendo así el riesgo de que un atacante robe y vuelva a usar las credenciales de un usuario. Los dispositivos Windows 10 Mobile necesitan tener un Módulo de plataforma segura (TPM), un microchip que habilita las características de seguridad avanzada. El TPM crea claves de cifrado que "se encapsulan" con la propia clave raíz de almacenamiento del TPM, y es almacenado dentro del propio TPM para evitar que las credenciales se vean en peligro. Las claves de cifrado creadas mediante el TPM, y que solo el mismo TPM puede descifrar, protege el material de clave de los atacantes que quieren capturarlo y volverlo a usar.

Para poner en peligro las credenciales de Windows Hello, un atacante necesitaría acceso al dispositivo físico y, a continuación, encontrar una forma de suplantar la identidad biométrica del usuario o adivinar su PIN. Todo esto debe hacerse antes de que las funcionalidades de resistencia por fuerza bruta de TPM bloqueen el dispositivo móvil, de que el mecanismo de protección contra robos entre en acción o de que el usuario o el administrador corporativo elimine el dispositivo de forma remota. Con la protección basada en TPM, la ventana de oportunidades de un atacante de poner en peligro las credenciales de un usuario se reduce en gran medida.

Soporte para biometría

La biometría ayuda a evitar el robo de credenciales y a que sea más fácil para los usuarios iniciar sesión en sus dispositivos. Los usuarios siempre tienen su identidad biométrica con ellos: no hay nada de lo que te puedas olvidar, perder o dejar atrás. Los atacantes necesitarían acceder al dispositivo del usuario y poder suplantar la identidad biométrica del usuario para tener acceso a los recursos corporativos, y esto es mucho más difícil que robar una contraseña.

Windows Hello admite tres escenarios de sensor biométrico:

  • Reconocimiento facial usa cámaras de IR especiales para indicar la diferencia entre una fotografía o digitalización y una persona real de forma confiable. Varios proveedores están enviando cámaras externas que incorporan esta tecnología y los principales fabricantes ya están enviando portátiles con tecnología de reconocimiento facial integrada. Surface Pro 4 y Surface Book son compatibles con esta tecnología.
  • Reconocimiento de huellas digitales usa un sensor para examinar la huella digital del usuario. Aunque los lectores de huellas digitales han estado disponibles en equipos que ejecutan el sistema operativo Windows durante años, la detección, antispoofing y los algoritmos de reconocimiento de Windows 10 son más avanzados que los de las versiones anteriores de Windows. La mayoría de los lectores de huellas digitales existentes (ya sean externos o integrados en equipos portátiles o teclados USB) que admiten la Plataforma de biometría de Windows funcionarán con Windows Hello.
  • Digitalización del iris usa cámaras diseñadas para digitalizar el iris del usuario, la parte colorida y muy detallada del ojo. Dado que los datos deben ser precisos, la digitalización del iris usa una combinación de una fuente de luz de infrarrojos y una cámara de alta calidad. Los dispositivos Microsoft Lumia 950 y 950 XL admiten esta tecnología.

Los usuarios deben crear un PIN de desbloqueo al registrar un gesto biométrico. El dispositivo usa este PIN como mecanismo de reserva en situaciones en las que no puede capturar el gesto biométrico.

Estos tres factores biométricos, la cara, el dedo y el iris, son exclusivos de una persona. Para capturar datos suficientes para identificar a una persona de forma única, puede que un escáner biométrico inicialmente capture imágenes en varias condiciones o con detalles adicionales. Por ejemplo, un escáner de iris capturará imágenes de ambos ojos con y sin gafas o lentes de contacto.

La suplantación de los datos biométricos es con frecuencia una gran preocupación en los entornos empresariales. Microsoft emplea varias técnicas contra la suplantación de identidad en Windows 10 Mobile que comprueba la confiabilidad del dispositivo biométrico, así como para la protección de colisión intencionada con medidas biométricas almacenadas. Estas técnicas ayudan a mejorar la tasa de aceptación falsa (es decir, la velocidad a la que se aceptan datos biométricos falsificados como auténticos) mientras se mantiene la facilidad de uso y la manejabilidad de MFA general.

La imagen biométrica recopilada en la inscripción se convierte en un formulario de algoritmo que no se puede volver a convertir en la imagen original. Solo se mantiene la forma de algoritmo; la imagen biométrica real se quita del dispositivo después de la conversión. Los dispositivos Windows 10 Mobile cifran el formulario de algoritmo de los datos biométricos y enlazan los datos cifrados al dispositivo, lo que ayuda a impedir que alguien elimine los datos desde el teléfono. Como resultado, la información biométrica que usa Windows Hello es un gesto local y no se mueve entre los dispositivos del usuario.

Dispositivos complementarios

Un dispositivo complementario de Windows Hello permite a un dispositivo físico, como un dispositivo transportable, que actúe como factor para validar la identidad del usuario antes de conceder el acceso a sus credenciales. Por ejemplo, cuando el usuario posee de manera física un dispositivo complementario se puede fácilmente, e incluso posiblemente de manera automática, desbloquear el equipo y autenticarse en aplicaciones y sitios web. Este tipo de dispositivo puede ser útil para smartphones o tabletas que no tienen sensores biométricos integrados o en sectores en los que los usuarios necesitan un inicio de sesión más fácil y rápido, como el comercial.

En algunos casos, el dispositivo complementario para Windows Hello permite a un dispositivo físico, como un teléfono, un dispositivo transportable o de cualquier otro tipo, almacenar todas las credenciales de los usuarios. El almacenamiento de las credenciales en un dispositivo móvil hace que sea posible usarlos en cualquier dispositivo compatible, como un quiosco multimedia o una equipo familiar y elimina la necesidad de inscribirse en Windows Hello en todos los dispositivos. Los dispositivos complementarios también ayudan a las organizaciones a cumplir con los requisitos obligatorios, tales como la publicación FIPS (Estándar federal de procesamiento de información) 140-2, (FIPS 140-2).

Enfoque basado en estándares

La Fast Identity Online (FIDO) Alliance es una organización sin ánimo de lucro para tratar la falta de interoperabilidad entre dispositivos de autenticación sólida, así como los problemas a los que los usuarios se enfrentan al crear y recordar varios nombres de usuario y contraseñas. Los estándares FIDO ayudan a reducir la dependencia de las contraseñas para autenticar a los usuarios de los servicios en línea y permite que cualquier red de empresas, aplicación, sitio web o aplicación en la nube interactúe con una amplia variedad de plataformas de sistema operativo y dispositivos habilitados para FIDO existentes y futuros.

En 2014, Microsoft se unió al comité de la Alianza FIDO. Las especificaciones FIDO 1.0, que se publicaron en diciembre de 2014, proporcionan dos tipos de autenticaciones: sin contraseña (conocida como UAF) y de segundo factor (U2F). La Alianza FIDO está trabajando en un conjunto de propuestas 2.0 que incorporan las mejores ideas de sus estándares U2F y UAF FIDO 1.0. Microsoft ha participado con la tecnología de Windows Hello en el grupo de trabajo de especificación FIDO 2.0 para la revisión y los comentarios y continúa trabajando con la Alianza FIDO a medida que la especificación FIDO 2.0 avanza. La interoperabilidad de los productos FIDO es una marca distintiva de la autenticación FIDO. Microsoft cree que introducir una solución FIDO en el mercado ayudará a satisfacer una necesidad imprescindible, tanto para las empresas como para los consumidores.

Windows Information Protection

Las empresas han experimentado un enorme crecimiento en la convergencia del almacenamiento de datos personales y corporativos. Los datos personales se almacenan a menudo en dispositivos corporativos y viceversa. Esta fluidez aumenta la posibilidad de que los datos corporativos confidenciales se pongan en peligro de forma accidental.

La divulgación involuntaria se ha convertido rápidamente en la principal causa de pérdida de datos confidenciales ya que las organizaciones permiten que los dispositivos personales accedan los recursos corporativos. Es fácil imaginarse que un empleado que usa su correo electrónico del trabajo en su teléfono personal guarde, de manera involuntaria, un archivo adjunto con información confidencial en su almacenamiento personal en la nube, y lo comparta con personas no autorizadas. Compartir datos corporativos de forma accidental es solo un ejemplo de los desafíos más comunes al usar dispositivos móviles en el lugar de trabajo. Para prevenir este tipo de pérdida de datos, la mayoría de las soluciones requieren que los usuarios inicien sesión con un nombre de usuario y una contraseña distintas en un contenedor que almacena todas las aplicaciones y los datos corporativos, una experiencia que disminuye la productividad del usuario.

Windows 10 Mobile incluye Windows Information Protection para mantener seguros los datos corporativos y los datos personales privados de una forma transparente. Dado que los datos corporativos están siempre protegidos, no es posible que los usuarios los copien o compartan sin querer con usuarios o aplicaciones no autorizadas. Las características principales incluyen:

  • Etiquetar automáticamente los datos personales y corporativos.
  • Proteger los datos mientras se encuentran en el almacenamiento extraíble o local.
  • Controlar las aplicaciones que pueden tener acceso a datos corporativos.
  • Controlar las aplicaciones que pueden tener acceso a una conexión de red privada virtual (VPN).
  • Impedir que los usuarios copien datos corporativos en ubicaciones públicas.
  • Ayudar a garantizar que no hay acceso a los datos de la empresa cuando el dispositivo se encuentra en estado bloqueado.

Aplicaciones optimizadas

Las soluciones de protección de pérdida de datos de terceros suelen requerir que los desarrolladores encapsulen sus aplicaciones. Sin embargo, Windows Information Protection compila esta inteligencia directamente en Windows 10 Mobile así que la mayoría de las aplicaciones no necesitan nada más para evitar compartir los datos corporativos de manera inapropiada.

Windows Information Protection clasifica las aplicaciones en dos categorías: optimizadas y no optimizadas. Las aplicaciones optimizadas pueden distinguir entre datos corporativos y datos personales para, así, determinar correctamente qué datos deben protegerse, según las directivas. Los datos corporativos se cifrarán en el dispositivo administrado y no se podrá copiar/pegar o compartir esta información con aplicaciones no corporativas. Las aplicaciones no optimizadas, si se marcan como administradas por la empresa, consideran todos los datos corporativos y cifran todo el contenido de manera predeterminada.

Si no deseas que todos los datos se cifren de manera predeterminada, porque podría dar lugar a una experiencia de usuario deficiente, los desarrolladores deberían considerar optimizar las aplicaciones añadiendo código y compilarlas usando las interfaces de programación de la aplicación Windows Information Protection. Los candidatos más probables para la optimización son aplicaciones que:

  • No usan controles comunes para guardar archivos.
  • No usan controles comunes para cuadros de texto.
  • Trabajan con datos personales y de empresa simultáneamente (por ejemplo, aplicaciones de contactos que muestran datos personales y de empresa en una sola vista o un explorador que muestra páginas web de empresa y personales en pestañas dentro de una sola instancia).

En muchos casos, la mayoría de las aplicaciones no requieren la optimización para usar Windows Information Protection. Lo único que tienes que hacer es agregarlas a la lista de permitidos. Las aplicaciones de línea de negocio (LOB) son un buen ejemplo de cómo esto funciona ya que solo controlan datos corporativos.

¿Cuándo es necesaria la optimización de la aplicación?

  • Obligatorio
    • La aplicación necesita trabajar con datos personales y de la empresa.
  • Recomendado
    • La aplicación controla únicamente datos corporativos, pero necesita modificar un archivo (por ejemplo, un archivo de configuración) para iniciarse, desinstalarse, actualizarse, etc. Sin la optimización no sería posible revocar estas aplicaciones correctamente.
    • La aplicación necesita tener acceso a datos de la empresa mientras que la protección con la pantalla bloqueada está activada.
  • No obligatorio
    • La aplicación solo controla solo datos personales.
    • La aplicación solo controla solo datos personales.

Control de pérdida de datos

Para configurar Windows Information Protection en una solución de administración de dispositivos móviles (MDM) que lo admita, tan solo tienes que agregar las aplicaciones autorizadas a la lista de permitidos. Cuando un dispositivo que ejecuta Windows 10 Mobile se inscribe en la solución de MDM, las aplicaciones no autorizadas no tendrán acceso a datos de la empresa.

Windows Information Protection funciona sin problemas hasta que los usuarios lo usan para intentar acceder a los datos de la empresa o intentan pegar los datos de la empresa en aplicaciones no autorizadas o ubicaciones de la web. Por ejemplo, la copia de datos de la empresa desde una aplicación autorizada a otra autorizada funciona de forma habitual, pero Windows Information Protection puede impedir que los usuarios copien datos de la empresa desde una aplicación autorizada a otra no autorizada. Asimismo, impedirá que los usuarios usen una aplicación no autorizada para abrir un archivo que contiene datos de la empresa.

El grado según el que se impedirá a los usuarios que copien y peguen datos de las aplicaciones autorizadas en las no autorizadas o en ubicaciones en la web depende del nivel de protección establecido:

  • Bloqueo. Windows Information Protection impide que los usuarios completen la operación.
  • Reemplazo. Windows Information Protection notifica a los usuarios que la operación es inadecuada, pero les permite invalidar la directiva, aunque registra la operación en el registro de auditoría.
  • Auditoría. Windows Information Protection no bloquea ni notifica a los usuarios, pero registra la operación en el registro de auditoría.
  • Desactivación. Windows Information Protection no bloquea ni notifica a los usuarios y no registra las operaciones en el registro de auditoría.

Separación de datos

La mayoría de soluciones de terceros requieren un contenedor de aplicación que dirige los datos de la empresa hacia un contenedor protegido con una contraseña y mantiene los datos personales fuera. Según la implementación, es posible que el dispositivo tenga que ejecutar dos versiones diferentes de la misma aplicación: una para datos personales y otra para datos de la empresa.

Windows Information Protection proporciona la separación de datos sin necesidad de un contenedor ni de una versión especial de la aplicación para acceder a datos de la empresa o personales. No hay un inicio de sesión independiente para ver tus datos corporativos o abrir tus aplicaciones corporativas. Windows Information Protection identifica los datos de la empresa y los cifra para que solo los use la empresa. La separación de datos es automática y sencilla.

Cifrado

Windows 10 Mobile usa el cifrado de dispositivo, basado en la tecnología de BitLocker, para cifrar todo el almacenamiento interno, como los sistemas operativos y las particiones de almacenamiento de datos. El usuario puede activar el cifrado de dispositivo o el departamento de TI puede activar y exigir el cifrado para los dispositivos administrados por empresas a través de las herramientas MDM. Cuando está activado el cifrado de dispositivo, todos los datos almacenados en el teléfono se cifran automáticamente. Un dispositivo Windows 10 Mobile con el cifrado activado protege la confidencialidad de los datos almacenados, incluso en caso de pérdida o robo del dispositivo. La combinación del cifrado de datos y el bloqueo de Windows Hello hace que sea extremadamente difícil que un tercero no autorizado recupere información confidencial del dispositivo.

Puedes personalizar el funcionamiento del cifrado de dispositivo para que cumpla requisitos de seguridad únicos. El cifrado de dispositivos incluso te permite definir tu propio conjunto de cifrado. Por ejemplo, puedes especificar el algoritmo y el tamaño de la clave que usa Windows 10 Mobile para el cifrado de datos, los conjuntos de cifrado de Seguridad de la capa de transporte (TLS) que se permiten y si está habilitada la directiva FIPS (Estándar federal de procesamiento de información). En la lista a continuación se enumeran las directivas que puedes cambiar para personalizar el cifrado de dispositivo en dispositivos Windows 10 Mobile.

  • Criptografía
    • Permitir el algoritmo FIPS: Esta directiva habilita o deshabilita la directiva FIPS. Se necesita un reinicio para aplicar esta directiva. El valor predeterminado está deshabilitado.
    • Conjunto de cifrado de TLS: Esta directiva contiene una lista de los algoritmos de cifrado criptográficos permitidos para las conexiones de Capa de sockets seguros.
  • BitLocker
    • Método de cifrado: Configura la seguridad del método de cifrado de unidad BitLocker y el cifrado. El valor predeterminado es AES-CBC de 128 bits. Si el dispositivo no puede usar el valor especificado, usará otro.

Para ayudar a que el dispositivo sea aún más seguro contra las interferencias del exterior, Windows 10 Mobile incluye ahora también protección a través de bloqueo. Esto significa que las claves de cifrado se eliminan de la memoria cuando el dispositivo esté bloqueado. Las aplicaciones no pueden acceder a datos confidenciales mientras que esté bloqueado para que los piratas informáticos ni el malware puedan encontrar ni apropiarse de las claves. Todo está bloqueado estrictamente con el TPM hasta que el usuario desbloquee el dispositivo con Windows Hello.

Certificaciones gubernamentales

Windows 10 Mobile admite FIPS 140 estándar para la criptografía y los criterios comunes La certificación FIPS 140 valida la efectividad de los algoritmos de criptografía usados en Windows 10 Mobile. Microsoft también ha recibido la certificación de criterios comunes para Windows 10 Mobile cuando se ejecuta en Lumia 950, 950 XL, 550, 635, así como Surface Pro 4, dándole así a los clientes la seguridad de que la funcionalidad de seguridad se implementa correctamente.

Resistencia a malware

La mejor forma de combatir el malware es la prevención. Windows 10 Mobile proporciona una gran resistencia al malware a través del hardware seguro, defensas en el proceso de inicio, la arquitectura del sistema operativo principal y protecciones de nivel de la aplicación. La siguiente tabla describe cómo Windows 10 Mobile mitiga las amenazas específicas de malware.

AmenazaMitigación de Windows 10 Mobile

Los bootkits de firmware sustituyen el firmware con malware.

Todos los dispositivos certificados incluyen Unified Extensible Firmware (UEFI) con arranque seguro, lo que requiere firmware firmado para las actualizaciones de UEFI y ROM de opción.

Los bootkits inician el malware antes de que Windows se inicie.

UEFI con arranque seguro comprueba la integridad del cargador de arranque de Windows para garantizar que ningún sistema operativo malintencionado pueda iniciarse antes que Windows.

Los rootkits de sistema o controlador (normalmente software malintencionado que se oculta del sistema operativo) inician el malware de nivel de kernel mientras se inicia Windows, antes de que se inicien las soluciones antimalware.

El Arranque seguro de Windows comprueba los componentes de arranque de Windows, incluidos los controladores de Microsoft. El Arranque medido se ejecuta en paralelo con el Arranque seguro y puede proporcionar información a un servidor remoto que comprueba el estado de arranque del dispositivo para ayudar a garantizar que el Arranque seguro y otros componentes de arranque comprobaron correctamente el sistema.

Una aplicación infecta otras aplicaciones o al sistema operativo con malware.

Todas las aplicaciones de Windows 10 Mobile se ejecutan dentro de AppContainer que las aísla de todos los demás procesos y componentes del sistema operativo con información confidencial. Las aplicaciones no pueden acceder a ningún recurso de fuera de AppContainer.

Una aplicación no autorizada o malware intenta iniciarse en el dispositivo.

Todas las aplicaciones de Windows 10 Mobile deben proceder de la Tienda Windows o de la Tienda Windows para empresas. Device Guard aplica directivas administrativas para seleccionar exactamente las aplicaciones que se pueden ejecutar.

El malware de nivel de usuario aprovecha una vulnerabilidad en el sistema o una aplicación y se hace con el dispositivo.

Las mejoras para tratar la aleatorización del diseño del espacio de direcciones (ASLR), la Prevención de ejecución de datos (DEP), la arquitectura de montón y los algoritmos de administración de memoria reducen la probabilidad de que se puedan aprovechar las vulnerabilidades correctamente.

Los procesos protegidos aíslan a los procesos que no son de confianza entre sí y de los componentes del sistema operativo con información confidencial.

Los usuarios acceden a un sitio web peligroso sin conocimiento del riesgo.

La característica de reputación de la dirección URL de SmartScreen impide que los usuarios vayan a un sitio web malintencionado que puede intentar aprovechar el explorador y tomar el control del dispositivo.

El malware aprovecha una vulnerabilidad de un complemento del explorador.

Microsoft Edge es una aplicación compilada en la Plataforma universal de Windows (UWP) que no ejecuta extensiones binarias heredadas, como Microsoft ActiveX y objetos auxiliares de explorador que se usan con frecuencia para las barras de herramientas, lo que elimina estos riesgos.

Un sitio web que incluye código malintencionado aprovecha una vulnerabilidad del explorador web para ejecutar el malware en el equipo cliente.

Microsoft Edge incluye el modo protegido mejorado, que usa espacio aislado basado en AppContainer para proteger el sistema de las vulnerabilidades que un atacante puede detectar en las extensiones que se ejecutan en el explorador (por ejemplo, Adobe Flash, Java) o en el propio explorador.

Nota: Los dispositivos Windows 10 Mobile usan un sistema en un chip (SoC) proporcionado por proveedores de SOC como Qualcomm. Con esta arquitectura, el proveedor de SoC y los fabricantes de dispositivos proporcionan los cargadores de arranque previos a UEFI y el entorno de UEFI. El entorno de UEFI implementa el estándar de Arranque seguro de UEFI que se describe en la sección 27 de la especificación de UEFI, que se puede encontrar en http://www.uefi.org/specsandtesttools. En este estándar se describe el proceso mediante el que se validan todas las aplicaciones y controladores de UEFI con claves aprovisionadas en un dispositivo basado en UEFI antes de ejecutarse.

UEFI con arranque seguro

Cuando se inicia un dispositivo Windows 10 Mobile, comienza el proceso de carga del sistema operativo al ubicar el cargador de arranque en el sistema de almacenamiento del dispositivo. Sin las medidas de seguridad implementadas, el teléfono puede simplemente ceder el control al cargador de arranque sin incluso determinar si es un sistema operativo de confianza o malware.

UEFI es una solución basada en estándares que permiten realizar sustituciones actuales para el BIOS. De hecho, proporciona la misma funcionalidad que el BIOS mientras agrega características de seguridad y otras funcionalidades avanzadas. Como BIOS, UEFI inicializa dispositivos, pero los componentes UEFI con la característica de Arranque seguro (versión 2.3.1 o posterior) también garantizan que solo el firmware de confianza en las ROM de opción, las aplicaciones de UEFI y los cargadores de arranque del sistema operativo pueden iniciarse en el teléfono móvil.

UEFI puede ejecutar comprobaciones de integridad internas que comprueban la firma digital del firmware antes de ejecutarlo. Dado que solo el fabricante del teléfono móvil tiene acceso al certificado digital necesario para crear una firma de firmware válida, UEFI tiene protección contra el malware basado en firmware que se carga antes de Windows 10 Mobile e intenta ocultar al sistema operativo su comportamiento malintencionado. Los malwares basados en firmware de este tipo normalmente se denominan bootkits.

Cuando se inicia un dispositivo móvil con UEFI y Arranque seguro, el firmware de UEFI comprueba la firma digital del cargador de arranque para comprobar que no se modificó después de haberse firmado digitalmente. El firmware también comprueba que una autoridad de confianza haya enviado la firma digital del cargador de arranque. Esta comprobación ayuda a garantizar que el sistema se inicia únicamente después de comprobar que el cargador de arranque es de confianza y está sin modificar desde el inicio de sesión.

Todos los dispositivos Windows 10 Mobile siempre tienen habilitado el Arranque seguro. Además, solo confían en la firma del sistema operativo Windows. Windows 10 Mobile, las aplicaciones y el malware no pueden cambiar la configuración de UEFI. Para obtener más información sobre UEFI con Arranque seguro, lee Protecting the pre-OS environment with UEF(Proteger el entorno previo del sistema operativo con UEFI).

Módulo de plataforma segura

Un Módulo de plataforma segura (TPM) es un módulo criptográfico resistente a la alteración que mejora la seguridad y privacidad de las plataformas informáticas. El TPM se incorpora como un componente en una plataforma informática de confianza como un PC, una tableta o un smartphone. Una plataforma informática de confianza está diseñada especialmente para trabajar con el TPM para admitir escenarios de privacidad y seguridad que no se consiguen solo mediante el software. Se requiere un TPM para recibir la Certificación de hardware del dispositivo Windows 10 Mobile.

Una implementación apropiada de un TPM como parte de una plataforma informática de confianza proporciona una raíz de hardware de confianza, lo que significa que el hardware se comporta de manera confiable. Por ejemplo, si creas una clave en un TPM con la propiedad de que nadie pueda exportar la clave del TPM, la clave no puede salir del TPM de ninguna manera. La estrecha integración de un TPM con una plataforma aumenta la transparencia del proceso de inicio y es compatible con escenarios de estado de dispositivo mediante la habilitación del informe confiable sobre el software que se usa para iniciar una plataforma.

En la siguiente lista se describe la funcionalidad clave que proporciona un TPM en Windows 10 Mobile:

  • Administración de claves criptográficas. Un TPM puede crear, almacenar y permitir el uso de las claves de forma definida. Windows 10 Mobile usa el TPM para proteger las claves de cifrado para volúmenes de BitLocker, tarjetas inteligentes virtuales, certificados y otras claves varias.
  • Medidas de integridad de protección e informes. Windows 10 Mobile usa el TPM para registrar y ayudar a proteger las medidas relacionadas con la integridad de determinado hardware y componentes de arranque de Windows para la característica de Arranque medido. En este escenario, el Arranque medido mide cada componente, desde el firmware hasta los controladores, y luego almacena esas medidas en el TPM del dispositivo. Desde aquí, puedes probar el registro de medidas remotamente para que un sistema independiente compruebe el estado de arranque del dispositivo Windows 10 Mobile.
  • Probar que un TPM es realmente un TPM. La administración de claves criptográficas y la medida de la integridad son tan esenciales para proteger la privacidad y seguridad que un TPM debe diferenciarse del malware que se enmascara como un TPM.

Windows 10 Mobile admite implementaciones de TPM que cumplan con el estándar 2.0. El TPM 2.0 estándar incluye varias mejoras que lo hacen superior al estándar 1.2, lo más destacable del cual es la agilidad criptográfica. TPM 1.2 está restringido a un conjunto fijo de algoritmos de cifrado y hash. En el momento en que apareció el estándar de TPM 1.2 a principios de la década de 2000, la comunidad de seguridad consideró que estos algoritmos eran criptográficamente seguros. Desde entonces los avances en algoritmos criptográficos y los ataques de análisis criptográfico han aumentado las expectativas para una criptografía más segura. TPM 2.0 admite algoritmos adicionales que ofrecen mayor protección criptográfica, así como la capacidad para conectar los algoritmos que pueden preferirse en determinadas zonas geográficas o sectores. También se abre la posibilidad de inclusión de algoritmos futuros sin cambiar el propio componente TPM.

Muchas personas suponen que los fabricantes de equipos originales (OEM) deben implantar un TPM en el hardware de la placa base como un módulo independiente, pero el TPM también puede ser eficaz cuando se implementa en el firmware. Windows 10 Mobile es compatible solo con el TPM de firmware que cumple con el estándar 2.0. Windows no distingue entre soluciones basadas en firmware y discretas porque ambas deben cumplir los mismos requisitos de seguridad e implementación. Por lo tanto, cualquier característica de Windows 10 que puede beneficiarse de TPM, puede usarse con Windows 10 Mobile.

Microsoft requiere TPM 2.0 en dispositivos que ejecutan cualquier versión de Windows 10 Mobile. Para obtener más información, consulta las Requisitos mínimos de hardware.

Varias características de seguridad de Windows 10 Mobile requieren TPM:

  • Tarjetas inteligentes virtuales
  • Arranque medido
  • Atestación de estado (requiere TPM 2.0 o posterior)

Aun así, otras características usarán el TPM si está disponible. Por ejemplo, Windows Hello no requiere el TPM, pero lo usa si está disponible. Las organizaciones pueden configurar la directiva para que requiera el TPM para Windows Hello.

Biometría

Windows 10 Mobile convierte la biometría en una característica principal de seguridad. Microsoft ha integrado completamente la biométrica en los componentes de seguridad de Windows 10 Mobile, no la ha agregado solo en la parte superior de la plataforma (como ocurría en versiones anteriores de Windows). Este es un gran cambio. Las implementaciones biométricas anteriores eran principalmente métodos front-end que simplificaban la autenticación. El sistema usaba la biometría de forma oculta para acceder a la contraseña, que posteriormente se usaba para la autenticación en segundo plano. La biometría puede ofrecer comodidad, pero no necesariamente autenticación a nivel de empresa.

Microsoft ha evangelizado la importancia de los sensores biométricos de la empresa para los OEM que crean dispositivos Windows 10 Mobile. Estos sensores de reconocimiento facial y digitalización del iris son totalmente compatibles con Windows Hello.

En el futuro, Microsoft espera que los OEM produzcan aún más sensores biométricos de empresas avanzados y continúen integrándolos en dispositivos móviles. Como resultado, la biometría se convertirá en un método de autenticación común como parte de un sistema MFA.

Arranque seguro

UEFI con Arranque seguro usa tecnologías de hardware para ayudar a proteger a los usuarios de los bootkits. El arranque seguro puede validar la integridad del dispositivo, el firmware y el cargador de arranque. Una vez que se inicia el cargador de arranque, los usuarios deben basarse en el sistema operativo para proteger la integridad del resto del sistema.

Cuando el arranque seguro con UEFI compruebe que el cargador de arranque es de confianza e inicie Windows 10 Mobile, la característica de arranque seguro de Windows protege el resto del proceso de inicio, comprobando que todos los componentes de inicio de Windows son de confianza (por ejemplo, si están firmados por una fuente de confianza) y que tienen integridad. El cargador de arranque comprueba la firma digital del kernel de Windows antes de cargarlo. A su vez, el kernel de Windows comprueba el resto de componentes del proceso de inicio de Windows, incluidos los controladores de arranque y los archivos de inicio.

Arranque medido

En las versiones anteriores de Windows, el mayor desafío en cuanto a los rootkits y los bootkits era que con frecuencia no eran detectables por el cliente. Dado que a menudo se iniciaban antes las defensas de Windows y la solución antimalware y tenían privilegios de nivel del sistema, los rootkits y los bootkits podían ocultarse completamente sin dejar de tener acceso a los recursos del sistema. Aunque UEFI con Arranque seguro podía prevenir la mayoría de los rootkits y bootkits, los intrusos podían seguir aprovechando algunos vectores de ataque (por ejemplo, si alguien ponía en peligro la firma usada para firmar un componente de arranque, como un controlador que no fuera de Microsoft y se usaba para firmar uno malintencionado).

Windows 10 Mobile implementa la característica de Arranque medido, que usa el componente de hardware TPM para registrar una serie de medidas para componentes esenciales relacionados con el inicio, como el firmware, los componentes de arranque de Windows y los controladores. Como el Arranque medido usa las funcionalidades de seguridad basadas en hardware de TPM, que aísla y protege los datos de medición de ataques de malware, los datos del registro también están protegidos frente a ataques incluso sofisticados.

El Arranque medido se centra en adquirir los datos de medición y protegerlos contra la manipulación. Para proporcionar un servicio de seguridad más completo se debe emparejar con un servicio que puede analizar los datos para determinar el estado del dispositivo.

Atestación de estado del dispositivo

La atestación de estado del dispositivo (DHA) es una nueva característica de Windows 10 Mobile que ayuda a evitar infecciones de malware de bajo nivel. La DHA usa un firmware y un TPM del dispositivo para medir las propiedades de seguridad fundamentales de los procesos de inicio de Windows y de BIOS del dispositivo. Estas mediciones se realizan de manera que, incluso en un sistema infectado con malware de nivel de kernel o un rootkit, sea bastante improbable que un atacante pueda suplantar las propiedades.

Puedes usar DHA con Microsoft Intune (se vende por separado) o una solución MDM de terceros para combinar las propiedades de seguridad medidas con hardware con otras propiedades del dispositivo y obtener una vista general del estado de cumplimiento y mantenimiento del dispositivo. Esta integración puede ser útil en una gran variedad de escenarios, incluyendo la detección de dispositivos con jailbreak hasta la supervisión del cumplimiento del dispositivo, mediante la generación de informes de cumplimiento, el envío de alertas a usuarios o administradores, el inicio de una acción correctiva en el dispositivo y la administración del acceso condicional a recursos como Office 365.

En el siguiente ejemplo se muestra cómo se integran y funcionan las medidas de protección de Windows 10 con soluciones de Intune y de MDM de terceros. Muestra cómo la arquitectura de seguridad del teléfono de Windows 10 Mobile puede ayudar a supervisar y a comprobar el cumplimiento, y cómo la seguridad y la confianza con la raíz en el hardware del dispositivo protegerán los recursos corporativos de principio a fin.

Cuando un usuario activa un teléfono:

  1. La característica de Arranque seguro de Windows 10 Mobile te ayuda a proteger la secuencia de inicio, permite que el dispositivo arranque en una configuración definida y de confianza y carga un cargador de arranque seguro de fábrica.
  2. El Arranque seguro de Windows 10 Mobile toma el control una vez completado el proceso de Arranque seguro, al comprobar la firma digital del kernel de Windows y los componentes que se cargan y se ejecutan durante el proceso de inicio.
  3. En paralelo a los pasos 1 y 2, el TPM del teléfono se ejecuta de forma independiente en una zona de seguridad protegida de hardware (aislada de la ruta de acceso de ejecución de arranque, que supervisa las actividades de arranque). Crea una traza de auditoría con evidencia de alteración y protegida, firmada con una clave secreta a la que solo puede acceder el TPM.
  4. Los dispositivos que están habilitados para DHA envían una copia de esta traza de auditoría al servicio de atestación de estado (HAS) de Microsoft Health en un canal de comunicación con evidencia de alteración, protegido y a prueba de manipulaciones.
  5. HAS revisa las trazas de auditoría, envía un informe cifrado y firmado y lo reenvía al dispositivo.
  6. Desde la solución de MDM habilitada para DHA, puedes revisar el informe en un canal de comunicación con evidencia de alteración, protegido y a prueba de manipulaciones para determinar si el dispositivo se ejecuta en un estado (correcto) compatible, permitir el acceso o desencadenar una acción correctiva alineada con las directivas y las necesidades de seguridad de la organización. Dado que esta solución puede detectar y evitar el malware de bajo nivel que puede ser muy difícil de detectar de cualquier otra forma, Microsoft recomienda que tengas en cuenta la implementación de un sistema MDM habilitada por DHA como Intune. Puede aprovechar las ventajas de la característica de servidor de atestación de estado basado en la nube de Windows 10 Mobile para detectar y bloquear los dispositivos que se hayan infectado con malware avanzado.

Device Guard

Device Guard es un conjunto de características formado por características de protección de la integridad de sistemas de software y hardware. Estas características revolucionan la seguridad del sistema operativo Windows al mover todo el sistema operativo a un modelo que no confía en nada.

Todas las aplicaciones de Windows 10 Mobile deben firmarse digitalmente y provienen de la Tienda Windows o de un almacén empresarial de confianza. Device Guard implementa directivas que restringen aún más esto. De manera predeterminada, Device Guard es compatible con todas las aplicaciones de la Tienda Windows. Puedes crear directivas que definan las aplicaciones que se pueden ejecutar o no en el dispositivo Windows 10 Mobile. Si la aplicación no tiene una firma digital, la impide una directiva o no procede de un almacén de confianza, no se ejecutará en Windows 10 Mobile.

Las características de hardware avanzado, descritas anteriormente, mejoran estas ofertas de seguridad. Al mejorar la integración de estas características de hardware en el sistema operativo principal, Windows 10 Mobile puede usarlas de diferentes maneras. Para ofrecer esta seguridad adicional, Device Guard requiere UEFI con Arranque seguro.

Selección aleatoria del diseño del espacio de direcciones

Una de las técnicas más comunes usadas por los atacantes para obtener acceso a un sistema es buscar una vulnerabilidad en un proceso con privilegios que ya se esté ejecutando, adivinar o buscar una ubicación en la memoria donde se encuentran el código del sistema y los datos importantes, y después sobrescribir dicha información con una carga malintencionada. En los comienzos de los sistemas operativos, todo el malware que se podía escribir directamente en la memoria del sistema podía hacer eso; el malware simplemente sobrescribía la memoria del sistema en ubicaciones conocidas y predecibles.

La selección aleatoria del diseño del espacio de direcciones (ASLR) hace que ese tipo de ataque sea mucho más difícil porque aleatoriza cómo y dónde se almacenan los datos importantes en la memoria. Con ASLR, es más difícil que el malware encuentre la ubicación específica que necesita para atacar. El diagrama a continuación ilustra cómo funciona ASLR mostrando cómo pueden cambiar las ubicaciones de los diferentes componentes críticos de Windows en la memoria entre reinicios.

Figura 3

Microsoft ha mejorado considerablemente la implementación de ASLR en Windows 10 Mobile respecto a versiones anteriores, aplicándolo en todo el sistema en lugar de solo en las aplicaciones específicas. Con el sistema de 64 bits y los procesos de aplicaciones que pueden beneficiarse de un espacio de memoria mucho mayor, es incluso aún más difícil que el malware prediga dónde almacena Windows 10 Mobile los datos importantes. Cuando se usa en sistemas que tienen TPM, la aleatorización de memoria de ASLR será cada vez más única en todos los dispositivos, agregando grados dificultad para reasignar los usos correctos en otro sistema.

Prevención de ejecución de datos

El malware depende de su capacidad para insertar una carga malintencionada en la memoria con la intención de que un usuario desprevenido lo ejecute más adelante. Mientras ASLR hace sea más difícil, Windows 10 Mobile amplía esa protección para evitar que el malware que ejecute si se escribe en un área que ha sido asignada únicamente para el almacenamiento de información. La prevención de ejecución de datos (DEP) reduce considerablemente el intervalo de memoria que usa código malintencionado para su beneficio. DEP usa el bit No ejecutar en CPU modernas para marcar los bloques de memoria como leídos solo para que el malware no pueda usar los bloques para ejecutar código malintencionado. Todos los dispositivos Windows 10 y Windows 10 Mobile son compatibles con DEP.

Montón de Windows

El montón es una ubicación en la memoria que Windows usa para almacenar datos de aplicación dinámica. Microsoft continúa mejorando los diseños de montón de Windows anteriores mitigando el riesgo de vulnerabilidades de seguridad de montón que podría usar un atacante. Windows 10 Mobile ha realizado varias mejoras importantes para la seguridad del montón respecto a versiones anteriores de Windows:

  • Las estructuras de datos internas que usa el montón están mejor protegidas contra daños en la memoria.
  • Las asignaciones de memoria del montón han aleatorizado ubicaciones y tamaños, lo que hace que sea más difícil para un atacante predecir la ubicación de memoria crítica que tiene que sobrescribir. Específicamente, Windows 10 Mobile agrega un desplazamiento aleatorio a la dirección de un montón asignado recientemente, lo que hace que la asignación sea menos predecible.
  • Windows 10 Mobile usa "proteger páginas" antes y después de los bloques de memoria como barreras. Si un atacante intenta escribir más allá de un bloque de memoria (una técnica común que se conoce como desbordamiento de búfer), el atacante tendrá que sobrescribir una página de protección. Cualquier intento de modificar una página de protección se considera un daño en la memoria y Windows 10 Mobile responde al instante finalizando la aplicación.

Reservas de memoria

Microsoft reserva los 64 KB más bajos del proceso de memoria para el sistema operativo. Las aplicaciones ya no tienen permitido asignar esa parte de la memoria, lo que hace que sea más difícil que el malware sobrescriba las estructuras de datos críticos del sistema en la memoria.

Protección de flujo de control

Cuando Windows carga aplicaciones en la memoria, les asigna espacio en función del tamaño del código, la memoria solicitada y otros factores. Cuando una aplicación comienza a ejecutar código, llama a código adicional que se encuentra en otras direcciones de memoria. Las relaciones entre las ubicaciones de código son conocidas, se escriben en el propio código. Sin embargo, hasta Windows 10 Mobile, el sistema operativo no aplicó el flujo entre estas ubicaciones, lo que da a los atacantes la oportunidad de cambiar el flujo para satisfacer sus necesidades. En otras palabras, una vulnerabilidad de seguridad de la aplicación aprovecha las ventajas de este comportamiento mediante la ejecución de código que normalmente no puede ejecutar la aplicación.

Windows 10 Mobile mitiga este tipo de amenaza a través de la característica de protección de flujo de control (CFG). Cuando una aplicación de confianza que se compiló para usar CFG llama a código, CFG comprueba que la ubicación del código que se ha llamado sea de confianza para la ejecución. Si CFG no confía en la ubicación, finaliza inmediatamente la aplicación como un riesgo de seguridad potencial.

No puedes configurar CFG; en su lugar, un desarrollador de aplicaciones puede aprovechar CFG configurándolo cuando compila la aplicación. Dado que los exploradores son un punto de entrada clave para los ataques; Microsoft Edge puede beneficiarse de CFG.

Procesos protegidos

Desafortunadamente, no hay ningún dispositivo inmune al malware. A pesar de todos los mejores controles preventivos, el malware finalmente puede encontrar una forma de infectar cualquier sistema operativo o plataforma de hardware. Por lo tanto, aunque la prevención con una estrategia de defensa en profundidad es importante, se requieren otros controles de malware. Si el malware se está ejecutando en un sistema, debes limitar lo que puede hacer. Los Procesos protegidos evitan que los procesos en los que no se confía interactúen o se alteren con los que se han firmado de forma especial. Procesos protegidos define los niveles de confianza para procesos. impide que los procesos de menor confianza puedan interactuar y, por tanto, no pueden atacar a procesos de mayor confianza. Windows 10 Mobile usa Procesos protegidos de manera más amplia en el sistema operativo.

AppContainer

El modelo de seguridad de Windows 10 Mobile se basa en el principio del menor privilegio y usa el aislamiento para conseguirlo. Cada aplicación e incluso algunas partes del sistema operativo se ejecutan dentro de su propio espacio aislado llamado AppContainer, un límite de aislamiento protegido dentro del cual se puede ejecutar una aplicación y sus procesos. Cada AppContainer se define e implementa a través de una directiva de seguridad.

La directiva de seguridad de un específico AppContainer define las funcionalidades del sistema operativo para que las aplicaciones tengan acceso desde el AppContainer, como información de ubicación geográfica, la cámara, el micrófono, las redes y los sensores.

Se concede un conjunto de permisos predeterminado a todos los AppContainers, incluido el acceso a una ubicación de almacenamiento aislada y única. El acceso a otras funcionalidades puede declararse en el código de la aplicación. A diferencia de las aplicaciones de escritorio, no se puede solicitar acceso a privilegios y funcionalidades adicionales en tiempo de ejecución.

El concepto de AppContainer resulta ventajoso porque proporciona:

  • Reducción de la superficie expuesta a ataques. Las aplicaciones solo pueden acceder a esas funcionalidades que se declaran en el código de la aplicación y que son necesarias para realizar sus funciones.
  • Consentimiento del usuario y control. Las funcionalidades que usan las aplicaciones se publican automáticamente a la página de detalles de la aplicación de la Tienda Windows. El acceso de la aplicación a las funcionalidades que pueden exponer la información confidencial automáticamente pide confirmación automáticamente al usuario para que acepte y de su consentimiento.
  • Aislamiento de las aplicaciones. La comunicación entre aplicaciones de Windows está estrictamente controlada. Las aplicaciones se aíslan una de la otra y pueden comunicarse solo mediante tipos de datos y canales de comunicación predefinidos.

Las aplicaciones reciben los privilegios mínimos que necesitan para llevar a cabo sus tareas legítimas. Esto significa que incluso si un atacante malintencionado aprovecha una aplicación, los posibles daños se verán limitados porque la aplicación no puede aumentar sus privilegios y está dentro de AppContainer. La Tienda Windows muestra los permisos que necesita la aplicación junto con la clasificación por edades y el publicador de la aplicación.

La combinación de Device Guard y AppContainer ayuda a impedir la ejecución de aplicaciones no autorizadas. En caso de que el malware entre en el ecosistema de la aplicación, AppContainer ayuda a restringir la aplicación y a limitar los posibles daños. El modelo que no confía en nada de Windows 10 Mobile no da por sentado que todos los componentes sean perfectos. Sin embargo, las posibles vulnerabilidades de aplicaciones, AppContainers y el mismo Windows 10 Mobile sí podrían dar la posibilidad a un atacante de poner en peligro un sistema. Por este motivo, se necesitan mitigaciones de vulnerabilidad redundantes. En los temas siguientes se describen algunas de las mitigaciones redundantes de Windows 10 Mobile.

Microsoft Edge

El explorador web es un componente fundamental de cualquier estrategia de seguridad. Es la interfaz de usuario de Internet, un entorno repleto de sitios malintencionados y contenido potencialmente peligroso. La mayoría de los usuarios no pueden realizar al menos una parte de su trabajo sin un explorador, y muchos usuarios dependen totalmente de uno. Esta realidad ha hecho que el explorador sea la vía número uno desde la que los piratas informáticos inician sus ataques.

Windows 10 Mobile incluye Microsoft Edge, un explorador web totalmente nuevo que va más allá de la exploración, con características como la Vista de lectura. Microsoft Edge es más seguro que los exploradores web de Microsoft anteriores de varias maneras:

  • Microsoft Edge en Windows 10 Mobile no admite extensiones. Microsoft Edge tiene integrada la funcionalidad para visualizar archivos en formato PDF.
  • Microsoft Edge está diseñado como una aplicación para UWP. Está intrínsecamente compartimentado y se ejecuta en AppContainer que aísla el explorador del sistema, los datos y otras aplicaciones.
  • Microsoft Edge simplifica las tareas de configuración de seguridad. Dado que Microsoft Edge usa una estructura de aplicaciones simplificada y una configuración única de espacio aislado, no se necesitan tantas opciones de configuración de seguridad. Además, Microsoft estableció la configuración predeterminada de Microsoft Edge para que se alinee con los procedimientos recomendados de seguridad, lo que la hace más segura de por sí.

Resumen

Windows 10 Mobile proporciona seguridad en dispositivos corporativos y personales para protegerse contra el acceso no autorizado, la pérdida de datos y las amenazas de malware. Todas las características que se tratan en este documento: la autenticación multifactor, la separación de datos y la resistencia a malware, se incorporan sin problemas en el sistema operativo. Esto significa que las empresas están protegidas sin que esto afecte a la productividad y a la facilidad de uso que anima a los usuarios a traer los dispositivos móviles a su lugar de trabajo.

Historial de revisiones

Noviembre de 2015 Actualizado para Windows 10 Mobile (versión 1511)

Julio de 2016 actualizado para Actualización de aniversario de Windows 10 Mobile (versión 1607)

© 2017 Microsoft