¡Cierre de emergencia! Refuerce Windows 10 para máxima seguridad

Es posible que haya escuchado que Microsoft ha hecho que Windows 10 sea más seguro que cualquiera de sus predecesores, llenándolo de elementos de seguridad. Lo que quizás no sepa es que algunas de estas características de seguridad tan cacareadas no están disponibles de fábrica o requieren hardware adicional; es posible que no obtenga el nivel de seguridad que esperaba.

Las características como Credential Guard están disponibles solo para ciertas ediciones de Windows 10, mientras que la biometría avanzada prometida por Windows Hello requiere una inversión considerable en hardware de terceros. Windows 10 puede ser el sistema operativo de Windows más seguro hasta la fecha, pero la organización experta en seguridad, y el usuario individual, deben tener en cuenta los siguientes requisitos de hardware y de la edición de Windows 10 para desbloquear las funciones necesarias para lograr una seguridad óptima. .

Nota: Actualmente, hay cuatro ediciones de escritorio de Windows 10: Home, Pro, Enterprise y Education, junto con varias versiones de cada una, que ofrecen diferentes niveles de software beta y de vista previa. Woody Leonard analiza qué versión de Windows 10 usar. La siguiente guía de seguridad de Windows 10 se centra en las instalaciones estándar de Windows 10, no en las vistas previas de Insider ni en la rama de mantenimiento a largo plazo, e incluye la actualización de aniversario cuando sea relevante.

El hardware adecuado

Windows 10 proyecta una amplia red, con requisitos mínimos de hardware que no son exigentes. Siempre que tenga lo siguiente, puede actualizar de Win7 / 8.1 a Win10: procesador de 1 GHz o más rápido, 2 GB de memoria (para actualización de aniversario), 16 GB (para SO de 32 bits) o 20 GB (SO de 64 bits) ) de espacio en disco, una tarjeta gráfica DirectX 9 o posterior con controlador WDDM 1.0 y una pantalla de resolución de 800 por 600 (pantallas de 7 pulgadas o más). Eso describe prácticamente cualquier computadora de la última década.

Pero no espere que su máquina de referencia sea completamente segura, ya que los requisitos mínimos anteriores no admitirán muchas de las capacidades basadas en criptografía en Windows 10. Las funciones de criptografía de Win10 requieren Trusted Platform Module 2.0, que proporciona un área de almacenamiento segura para criptografía claves y se utiliza para cifrar contraseñas, autenticar tarjetas inteligentes, proteger la reproducción de medios para evitar la piratería, proteger las máquinas virtuales y proteger las actualizaciones de hardware y software contra la manipulación, entre otras funciones.

Los procesadores AMD e Intel modernos (Intel Management Engine, Intel Converged Security Engine, AMD Security Processor) ya son compatibles con TPM 2.0, por lo que la mayoría de las máquinas compradas en los últimos años tienen el chip necesario. El servicio de administración remota vPro de Intel, por ejemplo, usa TPM para autorizar reparaciones remotas de PC. Pero vale la pena verificar si TPM 2.0 existe en cualquier sistema que actualice, especialmente dado que Anniversary Update requiere compatibilidad con TPM 2.0 en el firmware o como un chip físico separado. Una nueva PC, o sistemas que instalen Windows 10 desde cero, deben tener TPM 2.0 desde el principio, lo que significa tener un certificado de clave de aprobación (EK) preprovisionado por el proveedor de hardware a medida que se envía. Alternativamente, el dispositivo se puede configurar para recuperar el certificado y almacenarlo en TPM la primera vez que se inicia.

Los sistemas más antiguos que no son compatibles con TPM 2.0, ya sea porque no tienen el chip instalado o porque son lo suficientemente antiguos como para tener solo TPM 1.2, necesitarán instalar un chip habilitado para TPM 2.0. De lo contrario, no podrán actualizarse a Anniversary Update en absoluto.

Si bien algunas de las funciones de seguridad funcionan con TPM 1.2, es mejor obtener TPM 2.0 siempre que sea posible. TPM 1.2 solo permite el algoritmo de hash RSA y SHA-1, y considerando que la migración de SHA-1 a SHA-2 está en marcha, seguir con TPM 1.2 es problemático. TPM 2.0 es mucho más flexible, ya que admite SHA-256 y criptografía de curva elíptica.

El BIOS de la interfaz de firmware extensible unificada (UEFI) es la siguiente pieza de hardware imprescindible para lograr la experiencia más segura de Windows 10. El dispositivo debe enviarse con UEFI BIOS habilitado para permitir el arranque seguro, lo que garantiza que solo el software del sistema operativo, los núcleos y los módulos del núcleo firmados con una clave conocida se puedan ejecutar durante el tiempo de arranque. El arranque seguro bloquea los rootkits y el BIOS-malware para que no ejecuten código malicioso. El arranque seguro requiere firmware que admita UEFI v2.3.1 Errata B y tenga la autoridad de certificación de Microsoft Windows en la base de datos de firmas UEFI. Si bien es una bendición desde una perspectiva de seguridad, Microsoft designó el Arranque seguro como obligatorio para Windows 10 y generó controversias, ya que dificulta la ejecución de distribuciones de Linux sin firmar (como Linux Mint) en hardware compatible con Windows 10.

La actualización de aniversario no se instalará a menos que su dispositivo sea compatible con UEFI 2.31 o posterior.

Una breve lista de características y requisitos de hardware de Windows 10
Característica de Windows 10 TPM Unidad de gestión de memoria de entrada / salida Extensiones de virtualización LAMA UEFI 2.3.1 Solo para arquitectura x64
Guardia de credenciales Recomendado No utilizado Necesario Necesario Necesario Necesario
Guardia del dispositivo No utilizado Necesario Necesario Necesario Necesario Necesario
BitLocker Recomendado No requerido No requerido No requerido No requerido No requerido
Integridad de código configurable No requerido No requerido No requerido No requerido Recomendado Recomendado
Microsoft Hola Recomendado No requerido No requerido No requerido No requerido No requerido
VBS No requerido Necesario Necesario Necesario No requerido Necesario
Arranque seguro UEFI Recomendado No requerido No requerido No requerido Necesario No requerido
Atestación del estado del dispositivo a través del arranque medido Requiere TPM 2.0 No requerido No requerido No requerido Necesario Necesario

Fortaleciendo la autenticación, la identidad

La seguridad de las contraseñas ha sido un problema importante en los últimos años, y Windows Hello nos acerca a un mundo sin contraseñas, ya que integra y extiende los inicios de sesión biométricos y la autenticación de dos factores para "reconocer" a los usuarios sin contraseñas. Windows Hello también se las arregla para ser simultáneamente la característica de seguridad más accesible e inaccesible de Windows 10. Sí, está disponible en todas las ediciones de Win10, pero requiere una inversión significativa en hardware para aprovechar al máximo lo que tiene para ofrecer.

Para proteger las credenciales y claves, Hello requiere TPM 1.2 o posterior. Pero para los dispositivos en los que TPM no está instalado o configurado, Hello puede usar protección basada en software para proteger las credenciales y claves, por lo que Windows Hello es accesible para prácticamente cualquier dispositivo con Windows 10.

Pero la mejor manera de usar Hello es almacenar datos biométricos y otra información de autenticación en el chip TPM integrado, ya que la protección del hardware dificulta que los atacantes los roben. Además, para aprovechar al máximo la autenticación biométrica, es necesario hardware adicional, como una cámara infrarroja iluminada especializada o un lector de huellas digitales o de iris dedicado. La mayoría de las computadoras portátiles de clase empresarial y varias líneas de computadoras portátiles de consumo se envían con escáneres de huellas dactilares, lo que permite a las empresas comenzar con Hello en cualquier edición de Windows 10. Pero el mercado aún es limitado cuando se trata de cámaras 3D con detección de profundidad para reconocimiento facial y retina. escáneres para escaneo de iris, por lo que la biometría más avanzada de Windows Hello es una posibilidad futura para la mayoría, en lugar de una realidad diaria.

Disponible para todas las ediciones de Windows 10, Windows Hello Companion Devices es un marco que permite a los usuarios usar un dispositivo externo, como un teléfono, una tarjeta de acceso o un dispositivo portátil, como uno o más factores de autenticación para Hello. Los usuarios interesados ​​en trabajar con el dispositivo complementario Windows Hello para desplazarse con sus credenciales de Windows Hello entre varios sistemas Windows 10 deben tener instalado Pro o Enterprise en cada uno.

Windows 10 anteriormente tenía Microsoft Passport, que permitía a los usuarios iniciar sesión en aplicaciones confiables a través de credenciales de Hello. Con Anniversary Update, Passport ya no existe como una función separada, sino que se incorpora a Hello. Las aplicaciones de terceros que utilizan la especificación Fast Identity Online (FIDO) podrán admitir el inicio de sesión único a través de Hello. Por ejemplo, la aplicación de Dropbox se puede autenticar directamente a través de Hello, y el navegador Edge de Microsoft permite que la integración con Hello se extienda a la web. También es posible activar la función en una plataforma de administración de dispositivos móviles de terceros. Se acerca el futuro sin contraseña, pero todavía no.

Mantener el malware fuera

Windows 10 también presenta Device Guard, tecnología que le da la vuelta a los antivirus tradicionales. Device Guard bloquea los dispositivos con Windows 10 y se basa en listas blancas para permitir que solo se instalen aplicaciones de confianza. Los programas no pueden ejecutarse a menos que se determine que son seguros al verificar la firma criptográfica del archivo, lo que garantiza que todas las aplicaciones sin firmar y el malware no se puedan ejecutar. Device Guard se basa en la tecnología de virtualización Hyper-V de Microsoft para almacenar sus listas blancas en una máquina virtual blindada a la que los administradores del sistema no pueden acceder ni manipular. Para aprovechar Device Guard, las máquinas deben ejecutar Windows 10 Enterprise o Education y admitir TPM, virtualización de CPU de hardware y virtualización de E / S. Device Guard se basa en el refuerzo de Windows, como el arranque seguro.

AppLocker, disponible solo para empresas y educación, se puede usar con Device Guard para configurar políticas de integridad de código. Por ejemplo, los administradores pueden decidir limitar qué aplicaciones universales de la Tienda Windows se pueden instalar en un dispositivo. 

La integridad del código configurable es otro componente de Windows que verifica que el código que se ejecuta es confiable y sabio. La integridad del código del modo kernel (KMCI) evita que el kernel ejecute controladores sin firmar. Los administradores pueden gestionar las políticas a nivel de la autoridad de certificación o del editor, así como los valores hash individuales para cada ejecutable binario. Dado que gran parte del malware básico tiende a no estar firmado, la implementación de políticas de integridad de código permite a las organizaciones protegerse de inmediato contra el malware sin firmar.

Windows Defender, lanzado por primera vez como software independiente para Windows XP, se convirtió en la suite de protección contra malware predeterminada de Microsoft, con antispyware y antivirus, en Windows 8. Defender se desactiva automáticamente cuando se instala una suite antimalware de terceros. Si no hay ningún antivirus o producto de seguridad de la competencia instalado, asegúrese de que Windows Defender, disponible en todas las ediciones y sin requisitos de hardware específicos, esté activado. Para los usuarios de Windows 10 Enterprise, existe la Protección contra amenazas avanzada de Windows Defender, que ofrece análisis de amenazas de comportamiento en tiempo real para detectar ataques en línea.

Asegurar los datos

BitLocker, que protege los archivos en un contenedor cifrado, existe desde Windows Vista y es mejor que nunca en Windows 10. Con Anniversary Update, la herramienta de cifrado está disponible para las ediciones Pro, Enterprise y Education. Al igual que Windows Hello, BitLocker funciona mejor si se usa TPM para proteger las claves de cifrado, pero también puede usar la protección de claves basada en software si TPM no existe o no está configurado. Proteger BitLocker con una contraseña proporciona la defensa más básica, pero un método mejor es usar una tarjeta inteligente o el sistema de cifrado de archivos para crear un certificado de cifrado de archivos para proteger los archivos y carpetas asociados.

Cuando BitLocker está habilitado en la unidad del sistema y la protección de fuerza bruta está habilitada, Windows 10 puede reiniciar la PC y bloquear el acceso al disco duro después de un número específico de intentos de contraseña incorrectos. Los usuarios tendrían que escribir la clave de recuperación de BitLocker de 48 caracteres para iniciar el dispositivo y acceder al disco. Para habilitar esta función, el sistema debería tener la versión 2.3.1 o posterior del firmware UEFI.

Windows Information Protection, anteriormente Enterprise Data Protection (EDP), está disponible solo para las ediciones Windows 10 Pro, Enterprise o Education. Proporciona cifrado persistente a nivel de archivo y administración de derechos básicos, al tiempo que se integra con los servicios Azure Active Directory y Rights Management. La protección de la información requiere algún tipo de administración de dispositivos móviles (Microsoft Intune o una plataforma de terceros como AirWatch de VMware) o System Center Configuration Manager (SCCM) para administrar la configuración. Un administrador puede definir una lista de aplicaciones de escritorio o de la Tienda Windows que pueden acceder a los datos de trabajo o bloquearlas por completo. Windows Information Protection ayuda a controlar quién puede acceder a los datos para evitar la filtración accidental de información. Active Directory ayuda a facilitar la administración, pero no es necesario para utilizar Protección de la información,según Microsoft.

Virtualización de las defensas de seguridad

Credential Guard, disponible solo para Windows 10 Enterprise y Education, puede aislar "secretos" mediante la seguridad basada en virtualización (VBS) y restringir el acceso al software del sistema privilegiado. Ayuda a bloquear los ataques de pass-the-hash, aunque los investigadores de seguridad han encontrado recientemente formas de eludir las protecciones. Aun así, tener Credential Guard es mejor que no tenerlo en absoluto. Se ejecuta solo en sistemas x64 y requiere UEFI 2.3.1 o superior. Las extensiones de virtualización como Intel VT-x, AMD-V y SLAT deben estar habilitadas, así como IOMMU como Intel VT-d, AMD-Vi y BIOS Lockdown. Se recomienda TPM 2.0 para habilitar la Atestación de estado del dispositivo para Credential Guard, pero si TPM no está disponible, se pueden usar protecciones basadas en software.

Otra característica de Windows 10 Enterprise and Education es el Modo seguro virtual, que es un contenedor Hyper-V que protege las credenciales de dominio guardadas en Windows.