Diseño del blog
La seguridad de Windows 11 ¿Es suficiente para su empresa?
Emilio Javier Batarse Cardenas • 12 de mayo de 2022
COMPRA TEAMVIEWER CON FACTURA FISCAL EN MEXICO ¡CLICK AQUI!
COMPRA TEAMVIEWER CON FACTURA FISCAL EN MEXICO ¡CLICK AQUI!
La seguridad de Windows 11 ¿Es suficiente para su empresa?
Windows 11, el último sistema operativo de Microsoft, al que el gigante del software llama “el Windows más seguro hasta el momento”. Sin embargo, como muchos en el mundo de la tecnología han señalado rápidamente, la mayoría de las PC que actualmente ejecutan Windows no son compatibles con los requisitos avanzados del sistema para el nuevo sistema operativo (SO).
Requisitos del sistema para Windows 11
Para aprovechar al máximo las mejoras de seguridad de Windows 11, las PC deben estar equipadas con una CPU ultramoderna con extensiones de virtualización, firmware UEFI con capacidad de arranque seguro y un chip de seguridad avanzado compatible con TPM 2.0. Estas y otras restricciones garantizan la compatibilidad con una gran cantidad de funciones de ciberseguridad que hacen que Windows 11 sea mucho más resistente que sus predecesores. Sin embargo, también aseguran que la mayoría de las organizaciones se tomarán su tiempo para actualizar sus sistemas.
Para analizar de manera efectiva los pros y los contras de actualizar a Windows 11, deberá comprender qué características de seguridad están incluidas y disponibles; cómo estas características son facilitadas por los nuevos requisitos de hardware y software; y cuánto impacto se espera que tenga la actualización en su postura general de ciberseguridad.
Requisitos de CPU y seguridad basada en virtualización
Entre los mandatos más onerosos para actualizar a Windows 11 se encuentran los requisitos de la CPU. Windows 11 requiere un procesador avanzado de 64 bits y 1 GHz con extensiones de virtualización y dos o más núcleos (por ejemplo, procesador Intel de octava generación, AMD Zen 2 o Qualcomm 7 u 8 Series). Estas especificaciones permiten que Windows 11 aproveche al máximo una función conocida como seguridad basada en virtualización (VBS).
Mediante el uso de funciones de virtualización de hardware, VBS crea y aísla una petición segura de memoria del resto del sistema operativo para administrar datos o procesos confidenciales. Este aislamiento limita el grado en que un hack o exploit dado puede comprometer la seguridad del sistema.
Según una declaración del equipo de Windows en agosto de 2021:
“Si bien no requerimos VBS al actualizar a Windows 11, creemos que los beneficios de seguridad que ofrece son tan importantes que queríamos los requisitos mínimos del sistema para garantizar que todas las PC que ejecutan Windows 11 puedan cumplir con la misma seguridad que el Departamento de Defensa de los Estados Unidos ( DoD) se basa. En asociación con nuestros socios OEM y de silicio, habilitaremos VBS y HVCI en la mayoría de las PC nuevas durante el próximo año. Y continuaremos buscando oportunidades para expandir VBS en más sistemas con el tiempo”.
Varias características de seguridad diferentes en Windows 11 dependen de VBS para su implementación:
- Kernel Data Protection (KDP), por ejemplo, utiliza VBS para marcar partes del kernel de Windows como de solo lectura, lo que garantiza que los controladores y el software que se ejecutan en el kernel de Windows (es decir, el propio código del sistema operativo) no se puedan alterar.
- Application Guard usa VBS para crear entornos virtuales desechables (contenedores) en los que los usuarios pueden interactuar con sitios web o archivos de Microsoft Office que no se han incluido explícitamente en la lista blanca. Esto garantiza que el contenido no confiable cargado a través de Microsoft Edge, Internet Explorer o Microsoft Office permanezca aislado del sistema operativo host y los datos de la empresa, lo que limita el daño que puede causar cualquier contenido infectado.
- Credential Guard es una función de seguridad del sistema operativo que aísla Windows NTLM, las credenciales de Kerberos y otros secretos en un entorno protegido por VBS, lo que garantiza que solo el software del sistema privilegiado pueda obtener acceso. Esta característica ayuda a proteger su sistema de ataques de robo de credenciales como pasar el ticket (PtT) y pasar el Hash (PtH).
- De manera similar, la seguridad de inicio de sesión mejorada de Windows Hello usa VBS para aislar y proteger los datos de autenticación (incluida la biometría) que se usan para iniciar sesión en un dispositivo determinado, lo que garantiza que solo se pueda acceder a los datos a través de procesos seguros que se ejecutan en el entorno de VBS. También admite la creación de vías seguras para los datos de autenticación que se proporcionan a través de componentes externos (por ejemplo, un sensor de huellas dactilares o una cámara).
Módulo de plataforma segura (TPM) 2.0
Además de los requisitos del procesador, Windows 11 requiere un chip TPM para administrar claves criptográficas y proteger el firmware y el sistema operativo de su computadora personal. El módulo de plataforma segura (TPM) brinda protección contra manipulaciones a nivel de hardware para operaciones confidenciales, como la generación de claves, el cifrado y el arranque del sistema. La versión 2.0 de la especificación TPM está integrada en todas las CPU compatibles con Windows 11 y presenta algunas mejoras importantes.
Interfaz de firmware extensible unida (UEFI) y arranque seguro
United Extensible Firmware Interface (UEFI) viene en lugar del BIOS heredado tradicional. Este entorno de arranque programable inicializa los dispositivos e inicia el cargador de arranque del sistema operativo. Las PC con UEFI 2.3.1 y un chip TPM también son compatibles con el arranque seguro, una función que verifica todo el código que se ejecuta antes de que se cargue el sistema operativo, así como la firma digital del cargador de arranque del sistema operativo. Todas las máquinas con Windows 11 vienen con UEFI Secure Boot totalmente habilitado desde el principio, lo que garantiza que el firmware y el software autorizados con firmas digitales confiables solo puedan ejecutarse durante el proceso de arranque y protegen el sistema contra kits de arranque y rootkits.
Microsoft plutón
Windows 11 es el primer sistema operativo compatible con Microsoft Pluton, el nuevo procesador de seguridad actualizado y diseñado por Microsoft que se integrará en las futuras CPU de Intel, AMD y Qualcomm para PC con Windows. Pluton implementa seguridad de extremo a extremo creada, mantenida y actualizada por Microsoft, y se integrará con el proceso estándar de actualización de Windows, proporcionando una integración más estrecha y segura con el sistema operativo a nivel de hardware. Esta integración ayuda a remediar una vulnerabilidad física de las implementaciones actuales de TPM, donde los atacantes en posesión de un dispositivo aún pueden apuntar al canal de comunicación entre la CPU y el TPM para robar o modificar información en tránsito.
Seguro por diseño
Estos requisitos de Windows 11 garantizan la compatibilidad con una serie de tecnologías de seguridad avanzadas. Algunos, como UEFI Secure Boot, están habilitados de forma predeterminada en cualquier instalación de Windows 11, lo que facilita la protección Zero Trust lista para usar.
Protección de pila aplicada por hardware
La protección de pila aplicada por hardware (HSP) es una característica que ayuda a identificar y detener las vulnerabilidades que funcionan secuestrando el flujo de ejecución de código de una aplicación. HSP permite que las aplicaciones utilicen el hardware de la CPU local para proteger la pila (de memoria), donde se almacena el código en tiempo de ejecución, contra modificaciones. Esto se logra comparando la pila de llamadas de la aplicación con una pila oculta (un registro protegido por hardware del flujo de ejecución de código normal de la aplicación). Si la integridad de la pila se ha visto comprometida, el proceso finalizará.
Si bien esta característica ha estado disponible desde marzo de 2020 (al menos en las compilaciones de desarrolladores), el mecanismo de shadow stack está disponible solo en ciertos conjuntos de chips avanzados, como los requeridos por Windows 11, lo que garantiza una adopción más generalizada en el nuevo sistema operativo.
Atestación de Microsoft Azure
El estado del dispositivo está asegurado con Windows 11, gracias a funciones como UEFI Secure Boot y Kernel Data Protection. Como tal, el sistema operativo también garantiza soporte inmediato para la atestación de dispositivos remotos; es decir, la verificación remota de que todos los dispositivos de Windows que se conectan a su red son realmente confiables. La atestación establece confianza al validar la identidad y la integridad de los componentes esenciales de hardware y software. El método de atestación remota proporciona a las partes de confianza un informe de dispositivo verificable, imparcial y resistente a manipulaciones sobre un par remoto.
Microsoft Azure Attestation (MAA) es un excelente ejemplo de un servicio de atestación remota que se puede usar para revisar el estado del dispositivo de Windows de manera integral y usar esta información para hacer cumplir el acceso condicional a aplicaciones y datos basados en la nube a través de Azure Active Directory.
Entonces, ¿puede Windows 11 mantener a raya a los piratas informáticos?
ImageMicrosoft ha dado grandes pasos para garantizar que su nuevo sistema operativo sea seguro desde el primer momento. El hardware necesario centrado en la seguridad, que admite funciones como VBS y UEFI Secure Boot, aún puede permitir que Windows 11 neutralice por completo clases enteras de ataques de malware, como rootkits y ataques de programación orientada al retorno (ROP).
Sin embargo, la mayoría de los usuarios de Windows continúan trabajando con máquinas más antiguas. Muchos de esos usuarios ya están ansiosos por probar el nuevo sistema operativo y es posible que no comprendan completamente que las nuevas mejoras de seguridad de Windows 11 van de la mano con las nuevas restricciones de hardware. Algunos incluso pueden estar considerando pasar por alto los requisitos del sistema. Sin embargo, los usuarios (o administradores de TI) que instalan Windows 11 omitiendo los requisitos de hardware o deshabilitando funciones de seguridad importantes están perdiendo muchos de los beneficios de seguridad de la plataforma.
Además, tenga en cuenta que muchos de los vectores de ataque abordados por su estrategia de ciberseguridad actual no se abordan específicamente en las nuevas funciones de seguridad de Windows 11. Los ciberdelincuentes buscan constantemente nuevas vulnerabilidades y crean nuevo malware y otros exploits, algunos de los cuales seguirán funciona bien en sistemas protegidos por TPM, como phishing. Esto se vuelve aún más evidente cuando considera que, a pesar de la afluencia de nuevas tecnologías implementadas en Windows 11, Microsoft todavía está obligado a continuar brindando soporte a numerosas aplicaciones heredadas y brindar compatibilidad con versiones anteriores. En consecuencia, es razonable esperar que muchas vulnerabilidades que no se informaron anteriormente y que afectan a Windows 10 también se apliquen a Windows 11 (como se reveló en una actualización de parche reciente).
Acronis ofrece ciberseguridad ganadora para Windows 11
Cuando todo está dicho y hecho, las nuevas características de seguridad de Windows 11 son absolutamente un paso en la dirección correcta. Además, Microsoft parece estar abordando los problemas recientemente informados con bastante rapidez. Dicho esto, las personas, las organizaciones y los proveedores de servicios administrados (MSP) descubrirán que pueden lograr una seguridad y protección eficientes solo con soluciones desarrolladas por proveedores de ciberseguridad como Acronis. Centradas en integrar la protección de datos, la ciberseguridad y la gestión de la carga de trabajo, las soluciones de Acronis evitan las ciberamenazas modernas, incluidos los ataques de día cero, y permiten a los administradores de seguridad recuperar datos, aplicaciones y sistemas a través de una única plataforma.
Tanto si es un usuario doméstico, una empresa o un proveedor de servicios, Acronis ofrece la mejor protección de ciberseguridad del mercado actual. Sus soluciones incluyen:
Para usuarios domésticos: Acronis Cyber Protect Home Office (anteriormente Acronis True Image) ofrece todo lo que un usuario doméstico necesita para proteger su PC o Mac y hacer copias de seguridad de sus datos, haciéndolo más resistente a las amenazas actuales, desde fallas de disco hasta ataques de ransomware. Gracias a su integración única de respaldo y ciberseguridad en uno, ahorra tiempo y reduce el costo, la complejidad y el riesgo causado por la administración de soluciones de múltiples puntos.
Para empresas: Acronis Cyber Protect ofrece a las empresas una solución de ciberprotección que integra de forma nativa la ciberseguridad, la copia de seguridad de datos empresariales y la gestión de la carga de trabajo para proteger los puntos finales, los sistemas y los datos. Al integrar la protección de datos con la ciberseguridad, su empresa puede eliminar la complejidad, brindar una mejor protección contra las amenazas actuales y maximizar la eficiencia al ahorrar tiempo y dinero.
