Novedades de la seguridad de Windows 10
Hay varias mejoras de seguridad de clave de cliente que ha realizado Microsoft en Windows 10. Estas mejoras se centran en tres áreas clave: resistencia a las amenazas, protección de la información y protección de la identidad y control de acceso. Además de ofrecer información general sobre las características, este artículo describe los requisitos de hardware para cada característica nueva y ofrece recomendaciones de configuración y vínculos a recursos más detallados.
Microsoft diseñó el sistema operativo de Windows 10 para que fuera la versión más segura del sistema operativo Windows hasta la fecha. Para lograr este objetivo, Windows 10 emplea características de hardware avanzadas y que no están ampliamente disponibles para proteger a los usuarios y dispositivos de las amenazas cibernéticas modernas. Con las miles de nuevas variantes de malware que se detectan diariamente y la rápida evolución de las técnicas de piratería malintencionadas, nunca antes había sido tan importante la seguridad de cliente de Windows. En Windows 10, las organizaciones pueden implementar nuevas características de seguridad de resistencia frente a amenazas que refuerzan el sistema operativo de manera que puedan beneficiarse los escenarios de dispositivo Bring Your Own Device (BYOD) y corporativos, así como en los casos de dispositivos de uso especial, como quioscos, cajeros y sistemas de punto de venta (PDV). Estas nuevas características de resistencia frente a amenazas son modulares; es decir, están diseñadas para implementarse en conjunto, aunque también se pueden implementar de forma individual. Con todas estas nuevas características habilitadas juntas, las organizaciones pueden protegerse inmediatamente frente a la mayoría de las amenazas y malware más sofisticados que existen actualmente.
Además de las nuevas e impactantes mitigaciones de amenazas, Windows 10 incluye varias mejoras en la protección de la información integrada, como un nuevo componente de prevención de pérdidas de datos (DLP). Estas mejoras permiten a las organizaciones separar fácilmente los datos laborales y personales, definir qué aplicaciones tienen acceso a datos empresariales y determinar cómo se pueden compartir los datos (por ejemplo, copiar y pegar). A diferencia de otras soluciones DLP, Microsoft integró esta funcionalidad en profundidad en la plataforma de Windows, ofreciendo el mismo tipo de funcionalidades de seguridad que las soluciones basadas en contenedor pero sin alterar dichas experiencias de usuario, como la necesidad de cambiar el modo o alternar entre aplicaciones.
Por último, las nuevas características de protección de identidad y control de acceso facilitan la implementación de la autenticación en dos fases (2FA) en toda la empresa, lo que permite a las organizaciones una transición desde el uso de contraseñas. Windows 10 presenta Microsoft Passport, una nueva credencial de usuario 2FA integrada directamente en el sistema operativo al que pueden acceder los usuarios mediante un PIN o una nueva funcionalidad controlada mediante biométrica llamada Windows Hello. En conjunto, estas tecnologías proporcionan una experiencia de inicio de sesión sencilla para los usuarios, con la seguridad eficaz de la autenticación multifactor (AMF). A diferencia de las soluciones multifactor de terceros, Microsoft Passport está diseñado específicamente para integrarse con Microsoft Azure Active Directory (Azure AD) y entornos híbridos de Active Directory; además, requiere una configuración administrativa y mantenimiento mínimos.
Resistencia a las amenazas
El panorama actual de las amenazas de seguridad es el de unas amenazas agresivas y tenaces. En años anteriores, los atacantes malintencionados se centraban principalmente en obtener el reconocimiento de la comunidad a través de sus ataques y en el disfrute personal de desconectar sistemas temporalmente. Desde entonces, la intención del atacante ha pasado a ser la de rentabilizar sus ataques, por ejemplo, mediante la detención de equipos y la retención de datos hasta que el propietario pague el rescate solicitado, aprovechando además la información valiosa con la que beneficiarse económicamente que los atacantes descubren. A diferencia de estos ejemplos, los ataques modernos se centran cada vez más en el robo de propiedad intelectual a gran escala, la degradación de los sistemas dirigidos, que se traduce en pérdidas financieras y, ahora, incluso el ciberterrorismo, que amenaza la seguridad de personas, empresas e intereses nacionales en todo el mundo. Estos atacantes suelen ser individuos con una alta formación y expertos en seguridad, algunos de los cuales están contratados por Estados nación con grandes presupuestos, recursos humanos aparentemente ilimitados e intenciones desconocidas. Las amenazas de este tipo requieren un enfoque y unas mitigaciones diferentes que puedan cumplir el desafío.
Windows 10 presenta varias características de seguridad nuevas que ayudan a mitigar las amenazas modernas y protegen a las organizaciones contra los atacantes cibernéticos, independientemente de su intención. Microsoft ha realizado grandes inversiones en Windows 10 para convertirlo en el sistema operativo de Windows más resistente a malware hasta la fecha. En lugar de agregar defensas simplemente al sistema operativo, como sucedía en versiones anteriores de Windows, Microsoft presenta cambios en la arquitectura de Windows 10 que se dirigen a clases enteras de amenazas. Al cambiar radicalmente el modo de funcionamiento del sistema operativo, Microsoft pretende hacer que sea mucho más difícil que los atacantes modernos se aprovechen de Windows 10. Las nuevas características de Windows 10 incluyen Device Guard, integridad de código configurable, seguridad basada en la virtualización (VBS) y mejoras en Windows Defender, por nombrar algunas. Al habilitar todas estas nuevas características en conjunto, las organizaciones pueden protegerse de forma inmediata frente a los tipos de malware responsables de, aproximadamente, el 95 % de los ataques actuales.
Seguridad de virtualización
En el mundo del servidor, las tecnologías de virtualización como Microsoft Hyper-V han demostrado ser muy eficaces para aislar y proteger máquinas virtuales (VM) en el centro de datos. Ahora que esas funcionalidades de virtualización están cada vez más generalizadas en los dispositivos cliente modernos, se presenta una increíble oportunidad para los nuevos escenarios de seguridad de cliente de Windows. Windows 10 puede usar la tecnología de virtualización para aislar los servicios del sistema operativo principal en un entorno segregado y virtualizado, similar a una VM. Este nivel adicional de protección, llamado seguridad de virtualización, garantiza que nadie pueda manipular estos servicios, incluso si el modo kernel del sistema operativo host se ve comprometido.
Al igual que con el cliente Hyper-V, ahora Windows puede sacar provecho de los procesadores equipados con tecnología de traducción de direcciones de segundo nivel (SLAT) y extensiones de virtualización como Intel Virtualization Technology (VT) x y AMD V para crear un entorno de ejecución seguro para las funciones y datos confidenciales de Windows. Este entorno de VBS protege los siguientes servicios:
Hypervisor Code Integrity (HVCI). El servicio de HVCI de Windows 10 determina si el código que se ejecuta en modo kernel está diseñado de forma segura y de confianza. Ofrece día cero y funcionalidades de protección frente a vulnerabilidades de seguridad, asegurándose de que todo el software que se ejecuta en modo kernel, incluidos los controladores, asignan memoria de forma segura y de que funcionan según se diseñaron. En Windows 10, la integridad de código de modo kernel es configurable, lo que permite a las organizaciones definir el ámbito de ejecución de código de prearranque para su configuración deseada. Para obtener más información sobre la integridad de código configurable en Windows 10, consulta la sección Integridad de código configurable.
Autoridad de seguridad local (LSA). El servicio LSA en Windows administra las operaciones de autenticación, incluidos los mecanismos de NT LAN Manager (NTLM) y Kerberos. En Windows 10, la característica Credential Guard aísla una parte de este servicio y ayuda a mitigar las técnicas pass-the-hash y pass-the-ticket mediante la protección de credenciales de dominio. Además de las credenciales de inicio de sesión, esta protección se extiende a las credenciales almacenadas en el Administrador de credenciales. Para obtener más información sobre Credential Guard, consulta la sección Credential Guard.
Nota
Para determinar si la virtualización es compatible con un modelo de equipo cliente, solo tienes que ejecutar systeminfo en una ventana del símbolo del sistema.
VBS proporciona el marco principal para algunas de las mitigaciones más impactantes que ofrece Windows 10. Tener equipos cliente dentro de la organización que pueden emplear esta funcionalidad es fundamental para la resistencia a las amenazas modernas. Para obtener más información sobre las características de hardware específicas que requiere cada característica de Windows 10, incluida VBS, consulta la sección Windows 10 hardware considerations (Consideraciones de hardware de Windows 10).
Device Guard
Microsoft Device Guard es un conjunto de características que combina características de refuerzo de la integridad del sistema que revolucionan la seguridad de Windows al aprovechar las nuevas opciones de VBS para proteger el núcleo del sistema y un modelo que no confía en nada que suele verse en sistemas operativos móviles. Este conjunto de características saca aprovecho de las mejores características de refuerzo de Windows preexistentes (por ejemplo, el arranque seguro de Unified Extensible Firmware Interface [UEFI] o el arranque seguro de Windows) y luego las combina con características nuevas y eficaces de control de aplicaciones, como el servicio de HVCI con tecnología de VBS y la integridad de código configurable, que, en conjunto, ayudan a evitar las vulnerabilidades de seguridad y que se ejecuten aplicaciones no autorizadas en el dispositivo, tanto en modo usuario como en modo kernel. Para obtener más información sobre VBS en Windows 10 y las características adicionales que lo usan, consulta la sección Seguridad de virtualización. Para obtener más información sobre la integridad de código configurable, consulta la sección Integridad de código configurable.
Aunque Microsoft pretende que el conjunto de características de Device Guard se ejecute junto con nuevas características de seguridad de Windows como Credential Guard, pueden ejecutarse de forma independiente. Dependiendo de los recursos de cliente de tu organización, puedes elegir de forma selectiva las características que tengan sentido para la compatibilidad del dispositivo y el entorno. Para obtener información sobre los requisitos de hardware para Device Guard y otras características de seguridad de Windows 10, consulta la sección Windows 10 hardware considerations (Consideraciones de hardware de Windows 10). Para obtener más información sobre Credential Guard, consulta la sección Credential Guard.
Para la mayoría de las organizaciones, la implementación de una funcionalidad específica de Device Guard dependerá del rol del dispositivo y de su usuario principal, por lo que se emplearán más características en dispositivos de carga de trabajo única, como los quioscos, y menos características en equipos administrativos, sobre los que los usuarios tienen control total. Mediante este modelo, las organizaciones de TI pueden clasificar a los usuarios en grupos que cumplan con las directivas de seguridad de Device Guard relacionadas con la seguridad de los dispositivos y las restricciones de integridad de código. Para obtener más información sobre la integridad de código configurable, consulta la sección Integridad de código configurable.
Habrá nuevos equipos de escritorio y portátiles disponibles para agilizar los esfuerzos de implementación de Device Guard. Los dispositivos habilitados para Device Guard necesitarán menos interacción física con el dispositivo real antes de que estén preparados para su uso. De ahora en adelante, todos los dispositivos se incluirán en una de las tres siguientes categorías:
Compatible con Device Guard. Estos dispositivos cumplirán con todos los requisitos de hardware de Device Guard. Necesitarás preparar correctamente los dispositivos con componentes que requieran la activación o la configuración para la implementación de Device Guard. Los controladores de dispositivo del dispositivo deben ser compatibles con HVCI y pueden requerir actualizaciones del fabricante de equipos originales (OEM).
Habilitado para Device Guard. Los dispositivos habilitados para Device Guard procederán directamente de OEM con todos los controladores y componentes de hardware necesarios para ejecutar Device Guard. Además, todos estos componentes se configurarán previamente y se habilitarán, lo que reduce el esfuerzo necesario para implementar Device Guard. No se necesita interacción con el BIOS para implementar estos dispositivos, además puedes usar la directiva de grupo, System Center Configuration Manager o Microsoft Intune para administrarlos.
Incompatible con Device Guard. Muchos de los dispositivos actuales no pueden aprovechar todas las características de Device Guard debido a que no cuentan con los componentes de hardware o los controladores compatibles con HVCI necesarios. Sin embargo, en la mayoría de estos dispositivos se pueden habilitar algunas características de Device Guard, como la integridad de código configurable.
Para obtener más información sobre cómo administrar, implementar y prepararse para Device Guard, consulta la Guía de implementación de Device Guard.
Integridad de código configurable
Integridad de código es el componente de Windows que comprueba que el código que se está ejecutando en Windows sea de confianza y seguro. Al igual que ocurre con los modos operativos presentes en Windows, la integridad de código de Windows cuenta con dos componentes principales: la integridad de código del modo kernel (KMCI) y la integridad de código del modo de usuario (UMCI). Microsoft usó KMCI en las versiones recientes de Windows para impedir que el kernel de Windows ejecutara controladores no firmados. Aunque es un enfoque eficaz, los controladores no son la única vía de entrada de malware en el espacio del modo kernel del sistema operativo. Por lo tanto, en Windows 10, Microsoft ha aumentado el listón en cuanto al código en modo kernel de forma rápida al requerir el uso de las mejores prácticas de seguridad en relación con la administración de memoria y ha proporcionado a las empresas una manera de establecer sus propios estándares UMCI y KMCI.
Tradicionalmente, UMCI solo se encontraba disponible en Windows RT y en dispositivos Windows Phone, lo que dificultaba que los atacantes infectaran dichos dispositivos con virus y malware. Esta velocidad de reducción de la infección de debe a la manera en que el sistema operativo determina qué código ejecutar. De forma nativa, los archivos binarios siguen un proceso para demostrar al sistema operativo que son de confianza antes de que este les permita ejecutarse. Este proceso está pensado para restringir la ejecución de código arbitrario y, por tanto, reducir el riesgo de infección de malware. Este exitoso modelo de sistema operativo que no confía en nada está ahora disponible en Windows 10 a través de una característica llamada integridad de código configurable.
La integridad de código configurable permite que las organizaciones de TI creen e implementen directivas de integridad de código que estipulen exactamente qué archivos binarios pueden ejecutarse en su entorno. Los administradores pueden administrar esta confianza a nivel de publicador o entidad de certificación hasta los valores hash individuales de cada archivo binario ejecutado. Este nivel de personalización permite a las organizaciones crear directivas tan restrictivas como deseen. Además, las organizaciones pueden elegir proporcionar diferentes niveles de restricción para ciertos tipos de equipos. Por ejemplo, los dispositivos de carga de trabajo fija como quioscos y sistemas PDV recibirían probablemente una directiva estricta, porque su objetivo es proporcionar el mismo servicio todos los días. Los administradores pueden administrar los dispositivos que tengan cargas de trabajo más variables, como los equipos de usuarios, en un nivel superior, proporcionando determinadas aplicaciones de editores de software para la instalación o adaptando los dispositivos al catálogo de software de la organización.
Nota
La integridad de código configurable no está pensada para reemplazar las tecnologías que permiten o bloquean programas como AppLocker o el software antivirus de una organización. En su lugar, complementa estas tecnologías estableciendo una base de seguridad y, a continuación, usando dichas tecnologías adicionales para optimizar la seguridad de cliente.
La integridad de código configurable no se limita a las aplicaciones de la Tienda Windows. De hecho, ni siquiera se limita a las aplicaciones firmadas existentes. Windows 10 te ofrece una forma de firmar aplicaciones de línea de negocio o de terceros sin tener que reeempaquetarlas: puedes supervisar la instalación y la ejecución inicial de la aplicación para crear una lista de archivos binarios llamada archivo de catálogo. Una vez creados, se firman estos archivos de catálogo y se agrega el certificado de firma a la directiva de integridad de código para que se permita la ejecución de dichos archivos binarios incluidos en los archivos de catálogo. A continuación, puedes usar la directiva de grupo, Configuration Manager o cualquier otra herramienta de administración conocida para distribuir estos archivos de catálogo en los equipos cliente. Tradicionalmente, la mayoría del malware está sin firmar; simplemente mediante la implementación de directivas de integridad de código, tu organización puede protegerse inmediatamente contra el malware sin firmar, responsable de la mayoría de los ataques modernos.
Nota
Para obtener información detallada de implementación y planificación sobre la integridad de código configurable, consulta la Guía de implementación de Device Guard.
El proceso para crear, probar e implementar una directiva de integridad de código es el siguiente:
Crear una directiva de integridad de código. Use el cmdlet de Windows PowerShell New-CIPolicy, disponible en Windows 10, para crear una nueva directiva de integridad de código. Este cmdlet analiza todas las listas de un nivel de directiva específico en un equipo. Por ejemplo, si estableces el nivel de regla como Hash, el cmdlet agregaría los valores hash para todos los archivos binarios detectados en la directiva derivada del análisis. Al aplicar e implementar la directiva, esta lista de valores hash determina exactamente qué archivos binarios se pueden ejecutar en los equipos que reciben la directiva. Las directivas de integridad de código pueden contener una directiva de ejecución tanto de modo kernel como de modo de usuario, de modo que se restringe lo que se puede ejecutar en uno o ambos modos. Por último, una vez creada, esta directiva se convierte en formato binario para que el cliente administrado pueda consumirla cuando esta se copie en la carpeta de integridad de código del cliente.
Auditar la directiva de integridad de código en búsqueda de excepciones. Al crear una directiva de integridad de código por primera vez, el modo auditoría está habilitado de manera predeterminada para que puedas simular el efecto de una directiva de integridad de código sin bloquear realmente la ejecución de cualquier archivo binario. En su lugar, las excepciones a la directiva se registran en el registro de eventos CodeIntegrity para que puedas agregar las excepciones a la directiva más adelante. Asegúrate de auditar todas las directivas para detectar posibles problemas antes de implementarlas.
Combinar los resultados de la auditoría con la directiva existente. Después de auditar una directiva, puedes usar los eventos de auditoría para crear una directiva de integridad de código adicional. Dado que cada equipo procesa una sola directiva de integridad de código, debes combinar las reglas de archivo dentro de esta nueva directiva de integridad de código con la directiva original. Para ello, ejecuta el cmdlet Merge-CIPolicy , que está disponible en Windows 10 Enterprise.
Aplicar y firmar la directiva. Tras crear, auditar y combinar las directivas de integridad de código resultantes, es el momento de aplicar la directiva. Para ello, ejecuta el cmdlet Set-RuleOption para quitar la regla Directiva sin firmar. Una vez aplicada, no se permitirá la ejecución de archivos binarios que sean excepciones a la directiva. Además de aplicar una directiva, las directivas firmadas ofrecen un nivel adicional de protección. Las directivas de integridad de código firmadas se protegen de forma inherente frente a la manipulación y eliminación, incluso por parte de los administradores.
Implementar la directiva de integridad de código. Tras aplicar y firmar de forma opcional la directiva de integridad de código, ya está lista para la implementación. Para implementar las directivas de integridad de código, puedes usar tecnologías de administración de clientes de Microsoft, soluciones de administración de dispositivos móviles, la directiva de grupo o, simplemente, puedes copiar el archivo en la ubicación correcta de los equipos cliente. Para la implementación de la directiva de grupo, hay una nueva plantilla administrativa disponible en Windows 10 y el sistema operativo Windows Server 2016 que sirve para simplificar el proceso de implementación.
Nota
La integridad de código configurable está disponible en Windows 10 Enterprise y Windows 10 Education.
Puedes habilitar la integridad de código configurable como parte de una implementación de Device Guard o como un componente independiente. Además, puedes ejecutar la integridad de código configurable en hardware compatible con el sistema operativo Windows 7, incluso si dicho hardware no está habilitado para Device Guard. Las directivas de integridad de código pueden adaptarse a un catálogo de aplicaciones existente, a una estrategia de imagen corporativa existente o a cualquier otro método que proporcione los niveles de restricción deseados por la organización. Para obtener más información sobre la integridad de código configurable con Device Guard, consulta la Guía de implementación de Device Guard.
Arranque medido y atestación remota
Aunque las soluciones antimalware y antivirus basadas en software son eficaces, no tienen modo de detectar la modificación de recursos previos al sistema operativo o infecciones de bootkits o rootkits (software malintencionado que puede manipular un cliente antes de la carga del sistema operativo y de las soluciones antimalware). Los bootkits. rootkits y software similar son prácticamente imposibles de detectar mediante soluciones basadas únicamente en software, por lo que Windows 10 usa el módulo de plataforma segura (TPM) del cliente y la característica de arranque medido de Windows para analizar la integridad de arranque general. Cuando se solicite, Windows 10 informa sobre la integridad al servicio de atestación de estado del dispositivo basado en la nube de Windows, que posteriormente se puede usar en coordinación con soluciones de administración como Intune para analizar los datos y proporcionar acceso condicional a los recursos basados en el estado del dispositivo.
El arranque medido usa una de las funcionalidades clave del TPM y ofrece ventajas únicas para proteger las organizaciones. La característica puede informar de forma precisa y segura sobre el estado de la base de computación de confianza (TCB) de un equipo. Al medir el TCB del sistema, que consta de componentes de seguridad esenciales relacionados con el inicio (por ejemplo, firmware, cargador del sistema operativo, controladores y software), el TPM puede almacenar el estado actual del dispositivo en los registros de configuración de la plataforma (PCR). Una vez completado este proceso de medición, el TPM firma criptográficamente estos datos PCR para que se pueda enviar información de arranque medido al servicio de atestación de estado del dispositivo basado en la nube de Windows o un equivalente que no sea de Microsoft para la firma o la revisión. Por ejemplo, si una empresa solo quiere validar la información del BIOS del equipo antes de permitir el acceso a la red, PCR[0], que es el PCR que contiene la información de BIOS, se agregaría a la directiva para que se valide el servidor de certificación. De este modo, cuando el servidor de certificación recibe el manifiesto del TPM, el servidor conoce qué valores debería contener ese PCR.
El arranque medido por sí mismo no impide que se cargue malware durante el proceso de inicio, pero proporciona un registro de auditoría protegido de TPM que permite que un servidor de atestación remoto de confianza evalúe los componentes de inicio del equipo y determine su grado de confianza. Si el servidor de atestación remoto indica que el equipo cargó un componente que no es de confianza y que, por tanto, no cumple los requisitos, un sistema de administración puede usar la información para que los escenarios de acceso condicional bloqueen el acceso del equipo a recursos de red o realicen otras acciones de cuarentena.
Mejoras en Windows Defender
Microsoft ha modernizado Windows Defender para Windows 10 y lo ha combinado con Microsoft System Center Endpoint Protection. A diferencia de Microsoft System Center 2012 R2, no habrá ningún cliente de System Center Endpoint Protection que implementar en los equipos de Windows 10 porque Windows Defender está integrado en el sistema operativo y habilitado de manera predeterminada.
Además de la implementación simplificada, Windows Defender contiene varias mejoras. Las mejoras más importantes de Windows Defender son:
Compatible con antimalware de inicio temprano (ELAM). Después de que el arranque seguro haya comprobado que el sistema operativo que se está cargando es de confianza, ELAM puede iniciar una aplicación antimalware registrada y firmada antes que cualquier otro componente del sistema operativo. Windows Defender es compatible con ELAM.
Contexto local para detecciones y datos sensoriales centralizados. A diferencia de la mayoría del software antimalware y las versiones anteriores de Windows Defender, Windows Defender en Windows 10 ofrece información adicional sobre el contexto de las amenazas detectadas. Esta información incluye el origen del contenido de la amenaza, así como el movimiento histórico del malware en todo el sistema. Cuando se completa la recopilación, Windows Defender notifica esta información (cuando los usuarios eligen activar la protección basada en la nube) y la usa para mitigar amenazas más rápidamente.
Integración de Control de cuentas de usuario. Windows Defender está ahora estrechamente integrado con el mecanismo de UAC en Windows 10. Al realizar una solicitud de UAC, Windows Defender analiza automáticamente la amenaza antes de solicitar permiso al usuario, lo que ayuda a impedir que los usuarios proporcionen permisos elevados al malware.
Administración simplificada. En Windows 10, puedes administrar Windows Defender de manera mucho más fácil que nunca. Administra la configuración a través de la directiva de grupo, Intune o Administrador de configuración.
Protección de la información
La protección de la integridad de los datos de la empresa, así como evitar la divulgación inadecuada y el uso compartido de dichos datos son una prioridad para las organizaciones de TI. Las tendencias como BYOD y la movilidad hacen que la tarea de proteger la información sea más difícil que nunca. Windows 10 incluye varias mejoras para la protección de la información integrada, incluida una nueva característica de Enterprise Data Protection (EDP) que ofrece la funcionalidad DLP. Esta característica permite a los usuarios de las organizaciones clasificar datos por sí mismos y te proporciona la capacidad de clasificar automáticamente los datos a medida que se introducen a partir de los recursos empresariales. También puede ayudar a impedir que los usuarios copien contenido empresarial en ubicaciones no autorizadas, como documentos personales o sitios web.
A diferencia de algunas soluciones DLP actuales, EDP no requiere que los usuarios cambien de modo, de aplicación o de trabajo dentro de los contenedores para proteger los datos; la protección tiene lugar en segundo plano, sin alterar la experiencia del usuario a la que los usuarios están acostumbrados en Windows. Para obtener más información sobre EDP en Windows 10, consulta la sección Enterprise Data Protection.
Además de EDP, Microsoft ha realizado mejoras significativas en BitLocker, como la manejabilidad simplificada a través de Microsoft BitLocker Administration and Monitoring (MBAM), el cifrado solo de espacio usado y la funcionalidad de inicio de sesión único (SSO). Para obtener más información sobre las mejoras de BitLocker en Windows 10, consulta la sección Mejoras en BitLocker.
Enterprise Data Protection
Los sistemas DLP están destinados a proteger información corporativa confidencial mediante el cifrado y el uso administrado mientras los datos están en uso, en movimiento o en reposo. El software de DLP tradicional suele ser invasivo y frustrante para los usuarios y, además, su configuración e implementación puede ser complicada para los administradores. Windows 10 incluye ahora una característica de EDP que ofrece funcionalidades de DLP, está integrada y es fácil de usar. Esta solución te ofrece la flexibilidad para definir las directivas que te ayudarán a determinar qué tipo de datos proteger como datos empresariales y cuáles deben considerarse personales. Según estas directivas, también puedes elegir qué hacer, ya sea de forma automática o manual, siempre que sospeches que los datos van a estar o están en riesgo. Por ejemplo, si un empleado tiene un dispositivo personal pero administrado que contenga datos empresariales, una organización de TI podría impedir que ese usuario copie y pegue datos empresariales en documentos y ubicaciones no empresariales, o podría incluso borrar de forma selectiva los datos empresariales del dispositivo en cualquier momento sin que esto afecte a los datos personales del dispositivo.
Puedes configurar las directivas de EDP para cifrar y proteger los archivos de forma automática en función del origen de red desde el que se adquirió el contenido, como un servidor de correo electrónico, un recurso compartido de archivos o un sitio de Microsoft SharePoint. Las directivas pueden trabajar con recursos locales, así como con los que proceden de Internet. Cuando se especifique, cualquier dato recuperado a partir de recursos de red internos siempre se protegerán como datos de empresa; incluso si dichos datos se copian en un almacenamiento portátil, como una unidad flash o un CD, la protección permanece. Con el fin de permitir una fácil corrección de los datos clasificados incorrectamente, los usuarios que crean que EDP ha protegido sus datos personales incorrectamente pueden modificar la clasificación de los datos. Cuando se produce una modificación de este tipo, tienes acceso a los datos de auditoría en el equipo cliente. También puedes usar una directiva para impedir que los usuarios reclasifiquen datos. La característica de EDP en Windows 10 también incluye controles de directiva que te permiten definir qué aplicaciones tienen acceso a datos empresariales e incluso cuáles tienen acceso a la red privada virtual (VPN) corporativa.
Para administrar EDP, usa las mismas herramientas de administración del sistema que ya usas probablemente para administrar los equipos cliente de Windows, como Administrador de configuración e Intune. Para obtener más información sobre EDP, consulta la Información general de Enterprise Data Protection.
Mejoras de BitLocker
Con la gran cantidad de portátiles que se roban anualmente, la protección de datos en reposo debería ser una prioridad para cualquier organización de TI. Microsoft ha proporcionado una solución de cifrado denominada BitLocker directamente en Windows desde 2004. Si tu último encuentro con BitLocker fue en Windows 7, descubrirás que la manejabilidad y las funcionalidades de SSO que le faltaban anteriormente ahora están incluidas en Windows 10. Estas y otras mejoras hacen de BitLocker una de las mejores opciones del mercado para proteger datos en dispositivos Windows. Windows 10 se basa en las mejoras de BitLocker realizadas en los sistemas operativos Windows 8.1 y Windows 8 para hacer BitLocker más manejable y simplificar aún más su implementación.
Microsoft ha realizado las siguientes mejoras clave para BitLocker:
Cifrado de una unidad automática a través del cifrado de dispositivo. De manera predeterminada, BitLocker se habilita automáticamente en instalaciones limpias de Windows 10 si el dispositivo ha superado la prueba de requisitos de cifrado de dispositivo del kit para la certificación de hardware en Windows. Muchos equipos compatibles con Windows 10 cumplirán con este requisito. Esta versión de BitLocker se denomina cifrado de dispositivo. Siempre que los dispositivos en los que el cifrado de unidad esté habilitado se unan a tu dominio, las claves de cifrado pueden quedar custodiadas en Active Directory o en MBAM.
Mejoras de MBAM. MBAM proporciona una consola de administración simplificada para la administración de BitLocker. También simplifica las solicitudes de recuperación proporcionando un portal de autoservicio en el que los usuarios pueden recuperar sus unidades sin solicitar el servicio de asistencia.
SSO. BitLocker para Windows 7 requería a menudo el uso de un PIN de prearranque para acceder a la clave de cifrado de la unidad protegida y permitir que Windows se iniciara. En Windows 10, no se requiere una autenticación de prearranque basada en la entrada (en otras palabras, un PIN) porque el TPM mantiene las claves. Además, el hardware moderno mitiga a menudo los ataques de arranque en frío (por ejemplo, ataques de acceso directo a memoria basados en puerto), que anteriormente necesitaban la protección de PIN. Para obtener más información para determinar qué casos y tipos de dispositivo requieren el uso de protección de PIN, consulta Contramedidas de BitLocker.
Cifrado solo en espacio usado. En lugar de cifrar una unidad de disco duro completa, puedes configurar BitLocker para cifrar solo el espacio usado en una unidad. Esta opción reduce drásticamente el tiempo de cifrado total necesario.
Protección de identidad y control de acceso
Las credenciales de usuario son vitales para la seguridad global del dominio una organización. Hasta Windows 10, las combinaciones de nombre de usuario y contraseña eran el modo principal que tenía una persona para probar su identidad en un equipo o sistema. Lamentablemente, las contraseñas se roban fácilmente y los atacantes pueden usarlas de forma remota para suplantar la identidad de un usuario. Algunas organizaciones implementan soluciones basadas en infraestructura de clave pública (PKI), como tarjetas inteligentes, para tratar los puntos débiles de las contraseñas. Sin embargo, debido a la complejidad y a los costos asociados a estas soluciones, rara vez se implementan e, incluso cuando se usan, a menudo se hace solo para proteger activos de alta prioridad como la VPN corporativa. Windows 10 presenta nuevas características de protección de identidad y control de acceso que abordan los puntos débiles de las soluciones actuales y que pueden eliminar eficazmente la necesidad de contraseñas de usuario de una organización.
Windows 10 también incluye una característica denominada Microsoft Passport, un nuevo mecanismo 2FA integrado directamente en el sistema operativo. Los dos factores de autenticación incluyen una combinación de algo que conozcas (por ejemplo, un PIN), algo que tengas (por ejemplo, tu equipo o teléfono) o algo sobre el usuario (por ejemplo, datos biométricos). Con Microsoft Passport habilitado, cuando inicies sesión en un equipo, Microsoft Passport es responsable de establecer la autenticación del usuario en toda la red, proporcionando la misma experiencia SSO con la que estás familiarizado. Para obtener más información sobre Microsoft Passport, consulta la sección Microsoft Passport.
El factor de biométrica disponible para Microsoft Passport está controlado por otra característica nueva de Windows 10 llamada Windows Hello. Windows Hello usa una variedad de sensores biométricos para aceptar diferentes puntos de medida biométrica, como el rostro, el iris y huellas digitales, lo que permite a las organizaciones elegir entre varias opciones considerando lo que tenga más sentido para sus usuarios y dispositivos. Al combinar Windows Hello con Microsoft Passport, los usuarios ya no necesitan recordar una contraseña para acceder a recursos corporativos. Para obtener más información sobre Windows Hello, consulta la sección Windows Hello.
Por último, Windows 10 usa VBS para aislar el servicio de Windows que se encarga de mantener e intercambiar credenciales derivadas del usuario (por ejemplo, un vale Kerberos vale o un hash de NTLM) a través de una característica denominada Credential Guard. Además de aislar el servicio, el TPM protege los datos de credenciales mientras el equipo se esté ejecutando y mientras esté apagado. Credential Guard proporciona una estrategia integral para proteger las credenciales derivadas del usuario en tiempo de ejecución y en reposo, evitando que se acceda y se use en ataques de tipo pass-the-hash. Para obtener más información sobre Credential Guard, consulta la sección Credential Guard.
Microsoft Passport
Históricamente, las empresas han mitigado el riesgo de robo de credenciales mediante la implementación de 2FA. En este método, una combinación de algo que conozcas (por ejemplo, un PIN), algo que tengas (tradicionalmente, una tarjeta inteligente o un token) o, posiblemente, algo sobre el usuario (por ejemplo, datos biométricos) refuerza el proceso de inicio de sesión. El factor adicional que va más allá de algo que conozcas requiere que el ladrón de credenciales adquiera un dispositivo físico o, en el caso de los datos biométricos, al usuario real.
Microsoft Passport presenta un mecanismo de 2FA fuerte, integrado directamente en Windows. Muchas organizaciones usan 2FA en la actualidad, pero no integrarán su funcionalidad en su organización debido a los gastos y al tiempo necesario para hacerlo. Por lo tanto, la mayoría de las organizaciones usa AMF solo para proteger las conexiones VPN y los recursos de más alto valor de su red y, posteriormente, usa contraseñas tradicionales para iniciar sesión en los dispositivos y navegar por el resto de la red. La diferencia de Microsoft Passport con respecto a estas otras formas de 2FA es que Microsoft lo ha diseñado específicamente para abordar la complejidad, el costo y los desafíos de la experiencia de usuario de las soluciones 2FA tradicionales, lo que simplifica su implementación en toda la empresa a través de la infraestructura y los dispositivos existentes.
Microsoft Passport puede usar la información de los datos biométricos de Windows Hello o un PIN único con claves de firma criptográfica almacenadas en el TPM del dispositivo. Para las organizaciones que no tienen una PKI existente, el TPM (o Windows, cuando no hay ningún TPM) puede generar y proteger estas claves. Si tu organización tiene una PKI local o quiere implementar una, puedes usar certificados de la PKI para generar las claves y luego almacenarlas en el TPM. Cuando el usuario haya registrado el dispositivo y use Windows Hello o un PIN para iniciar sesión en el dispositivo, la clave privada de Passports Microsoft completará cualquier solicitud de autenticación posterior. Microsoft Passport combina la flexibilidad de implementación de las tarjetas inteligentes virtuales con la seguridad eficaz de las tarjetas inteligentes físicas sin requerir componentes de infraestructura extra, necesarios para las implementaciones tradicionales de tarjeta inteligente y el hardware, como tarjetas y lectores.
En Windows 10, el factor de físico de autenticación es el dispositivo del usuario, ya sea su equipo o teléfono móvil. Mediante la nueva funcionalidad de inicio de sesión del teléfono, que estará disponible para los usuarios de Windows Insider como una versión preliminar a principios de 2016, los usuarios pueden desbloquear su equipo sin siquiera tocarlo. Los usuarios inscribirán simplemente su teléfono en Microsoft Passport emparejándolo con el equipo a través de Wi-Fi o Bluetooth e instalarán una aplicación fácil de usar en su teléfono que les permitirá seleccionar qué equipo desbloquear. Una vez seleccionado, los usuarios pueden escribir un PIN o realizar el inicio de sesión biométrico desde su teléfono para desbloquear su equipo.
Windows Hello
Las contraseñas representan un mecanismo de pérdida de identidad y de control de acceso. Cuando una organización depende de la autenticación de Windows basada en contraseña, los atacantes solo tienen que determinar una única cadena de texto para acceder a cualquier elemento de una red corporativa protegida por esas credenciales. Lamentablemente, los atacantes pueden usar varios métodos para recuperar una contraseña de usuario, haciendo que el robo de credenciales sea relativamente fácil para determinados atacantes. Al cambiar a un mecanismo AMF para comprobar las identidades de los usuarios, las organizaciones pueden eliminar las amenazas que suponen las opciones de factor único como las contraseñas.
Windows Hello es la característica de integración biométrica a nivel de empresa de Windows 10. Esta característica permite que los usuarios usen su rostro, iris, o huella digital en lugar de una contraseña para autenticarse. Aunque las funcionalidades de inicio de sesión biométrico han estado presentes desde el sistema operativo Windows XP, nunca han sido tan fáciles, sin problemas y seguras como en Windows 10. En cuanto al uso de la biométrica en Windows, anteriormente el sistema operativo usaba la información biométrica solo para desbloquear el dispositivo; luego, en segundo plano, se usaba la contraseña tradicional del usuario para acceder a recursos de la red de la organización. Además, la organización de TI debía ejecutar un software adicional para configurar los dispositivos biométricos para iniciar sesión en Windows o en las aplicaciones. Windows Hello se integra directamente en el sistema operativo y, por lo tanto, no requiere software adicional para funcionar. Sin embargo, como ocurre con cualquier otro método de inicio de sesión biométrico, Windows Hello necesita hardware específico para funcionar:
Reconocimiento facial. Para establecer el reconocimiento facial, Windows Hello usa cámaras especiales de infrarrojos (IR) y tecnología anti-spoofing para diferenciar de forma confiable entre una fotografía y una persona real. Este requisito garantiza que nadie pueda tomar el equipo de la persona y suplantar su identidad simplemente mediante una imagen de alta definición. Muchos fabricantes ya ofrecen ya modelos de PC que incluyen estas cámaras y, por tanto, son compatibles con Windows Hello. Para los equipos que no incluyen actualmente estas cámaras especiales, existen varias cámaras externas disponibles.
Reconocimiento de huellas digitales. Los sensores de huellas digitales ya existen en un gran porcentaje de equipos empresariales y de consumidores. La mayoría de ellos (ya sean externos o integrados en portátiles o teclados USB) funcionan con Windows Hello. La tecnología de detección y anti-spoofing disponible en Windows 10 es mucho más avanzada que en versiones anteriores de Windows, lo que dificulta que los atacantes engañen al sistema operativo.
Reconocimiento de iris. Como ocurre con el reconocimiento facial, el reconocimiento de iris usa cámaras especiales de infrarrojos y tecnología anti-spoofing para diferenciar de forma confiable entre el iris del usuario y el de un impostor. El reconocimiento de iris estará disponible en dispositivos móviles a finales de 2016, pero también está disponible para proveedores de hardware independientes y OEM para incorporarlo en los equipos.
Con Windows Hello en combinación con Microsoft Passport, los usuarios tienen la misma experiencia SSO que tendrían si iniciaran sesión con credenciales de dominio: la única diferencia es que, en su lugar, usan datos biométricos. Además, al no haber contraseñas, los usuarios no llamarán al servicio de asistencia indicando que han olvidado su contraseña. Para que un atacante suplante la identidad de un usuario, tendría que disponer físicamente tanto del usuario como del dispositivo en el que el usuario esté configurado para Windows Hello. Desde la perspectiva de la privacidad, las organizaciones pueden tener la tranquilidad de que los datos biométricos que usa Windows Hello no se almacenan de manera centralizada; las huellas digitales, el rostro o el iris del usuario no se pueden convertir en imágenes; están diseñados para que nunca abandonen el dispositivo. Al final, Windows Hello y Microsoft Passport podrán eliminar completamente la necesidad de contraseñas en Azure AD y en los entornos de Azure AD/Active Directory híbridos, así como en las aplicaciones y servicios web que dependen de ellos para los servicios de identidad. Para obtener más información sobre Microsoft Passport, consulta la sección Microsoft Passport.
Credential Guard
Pass-the-hash es actualmente el ataque de credenciales derivadas usado con más frecuencia. Este ataque comienza cuando un atacante extrae las credenciales derivadas de una cuenta de usuario (valor hash) desde la memoria. A continuación, mediante el uso de un producto como Mimikatz, el atacante vuelve a usar (pasa) esas credenciales en otros equipos y recursos de la red para obtener acceso adicional. Microsoft diseñó Credential Guard específicamente para eliminar el robo de credenciales derivadas y los abusos de los ataques de tipo pass-the-hash.
Credential Guard es otra característica nueva de Windows 10 Enterprise que emplea VBS para proteger las credenciales de dominio contra los robos, incluso cuando el sistema operativo host está en peligro. Para lograr dicha protección, Credential Guard aísla una parte del servicio LSA, que es responsable de administrar la autenticación, dentro de un contenedor virtualizado. Este contenedor es similar a una VM que se ejecute en un hipervisor, pero es sumamente ligero y contiene solo los archivos y componentes necesarios para que funcione la LSA y otros servicios aislados. Al aislar una parte del servicio LSA dentro de este entorno virtualizado, las credenciales están protegidas incluso si el kernel del sistema está en peligro, quitando el vector de ataque para pass-the-hash.
Para obtener más información sobre los requisitos de hardware para Credential Guard, consulta la sección Windows 10 hardware considerations (Consideraciones de hardware de Windows 10). Para obtener más información sobre VBS en Windows 10, consulta la sección Seguridad de virtualización.
Nota
Al ser necesarios el modo de usuario aislado y un hipervisor Hyper-V, no puedes configurar Credential Guard en una VM, solo en un equipo físico.
El objetivo de la característica Credential Guard es resistir el uso de técnicas pass-the-hash y pass-the-ticket. Al implementar una AMF como Microsoft Passport con Credential Guard, puedes disfrutar de protección adicional contra dichas amenazas. Para obtener información más detallada sobre cómo funciona Credential Guard y las mitigaciones específicas que proporciona, consulta Proteger las credenciales de dominio con Credential Guard.
Consideraciones de hardware de Windows 10
La mayoría de las características que se describen en este artículo dependen de hardware específico para maximizar sus funcionalidades. Al comprar hardware que incluya estas características durante el próximo ciclo de compra, podrás aprovechar el paquete de seguridad de cliente más completo que te ofrece Windows 10. Considerar detenidamente qué proveedor de hardware y qué modelos específicos comprar es fundamental para el éxito de la cartera de seguridad de cliente de la organización. La tabla 1 contiene una lista con cada una de las nuevas características de seguridad de Windows 10 y sus requisitos de hardware.
Tabla 1. Requisitos de hardware de Windows 10
| Características de Windows 10 | TPM | Unidad de administración de memoria de entrada y salida | Extensiones de virtualización | SLAT | UEFI 2.3.1 | Solo arquitectura x64 |
|---|---|---|---|---|---|---|
| Credential Guard | R | N | Y | Y | Y | Y |
| Device Guard | N | Y | Y | Y | Y | Y |
| BitLocker | R | N | N | N | N | N |
| Integridad de código configurable | N | N | N | N | R | R |
| Microsoft Passport | R | N | N | N | N | N |
| Windows Hello | R | N | N | N | N | N |
| VBS | N | Y | Y | Y | N | Y |
| Arranque seguro de UEFI | R | N | N | N | Y | N |
| Atestación de estado del dispositivo mediante el arranque medido | Y* | N | N | N | Y | Y |
* Requiere el uso de TPM 2.0.
Nota
En esta tabla, R significa recomendado, Y significa que el componente de hardware es necesario para esa característica de Windows 10 y N significa que el componente de hardware no se usa con esa característica de Windows 10.
Temas relacionados
Especificaciones de Windows 10
Haciendo que Windows 10 sea más personal y más seguro con Windows Hello
Proteger BitLocker frente a ataques de prearranque