Compartir a través de

Procedimientos recomendados de seguridad para Surface Hubs que ejecutan Salas de Microsoft Teams en Windows

  • Artículo

Ámbito

Este artículo se aplica a los nuevos dispositivos Surface Hub 3, dispositivos Surface Hub 2S actualizados con el cartucho de proceso Surface Hub 3 Pack y los dispositivos Surface Hub 2S migrados a la Salas de Teams en la plataforma Windows.

Introducción

En función de la posición de seguridad de su organización, es posible que desee tomar otras medidas de seguridad, como se describe en este artículo. Como mínimo, recomendamos las siguientes medidas:

Sugerencia

Antes de empezar, revise las instrucciones para Salas de Microsoft Teams seguridad, que se centra principalmente en la seguridad de los dispositivos de conferencia de mesa: Salas de Teams sistemas certificados. El sistema operativo Windows 11 IoT Enterprise proporciona a los administradores de TI una variedad de opciones de administración y configuración centralizadas.

Cambio de la contraseña de administrador local predeterminada

La cuenta de administrador local predeterminada es un punto de entrada conocido para actores malintencionados. Si la contraseña de administrador predeterminada permanece sin cambios después de la primera configuración, el dispositivo podría ser vulnerable a infracciones de datos, manipulación del sistema u otro acceso no autorizado.

Para cambiar la contraseña de administrador local en Surface Hub

  1. Inicie sesión con credenciales de administrador y vaya a Opciones de inicio de sesión de cuentas > de configuración > Cambio de > contraseña>.
  2. Escriba la contraseña predeterminada actual: sfb.
  3. Create una nueva contraseña, confirme la contraseña y agregue una sugerencia. Para obtener más información, consulta Cambiar o restablecer la contraseña de Windows.

Captura de pantalla que muestra Cambiar la contraseña.

Sugerencia

Cuando se une a Microsoft Entra ID (Azure AD), puede usar Windows LAPS (solución de contraseña de administrador local). Aunque LAPS no quita las cuentas de administrador local, administra automáticamente las contraseñas de administrador local, lo que garantiza que están aleatorias y almacenadas de forma segura en AD. Esto reduce el riesgo asociado a contraseñas de administrador obsoletas o ampliamente conocidas. Para obtener más información, consulta Microsoft Intune compatibilidad con Windows LAPS.

Establecimiento de una contraseña UEFI

Unified Extensible Firmware Interface (UEFI) es una interfaz de firmware avanzada diseñada para reemplazar el BIOS tradicional (sistema básico de entrada/salida), que proporciona características mejoradas, como seguridad mejorada, tiempos de arranque más rápidos y compatibilidad con unidades de disco duro más grandes en sistemas operativos Windows modernos. Al establecer una contraseña UEFI, se agrega una capa adicional de seguridad, lo que impide que los usuarios no autorizados cambien la configuración de firmware del dispositivo. Establezca una contraseña UEFI segura y guárdala en una ubicación segura.

Usa surface IT Toolkit para establecer una contraseña UEFI con el modo de administración de Surface Enterprise (SEMM).

Inscripción de Surface Hub en SEMM

Necesita una unidad USB dedicada con al menos 50 MB de espacio de almacenamiento.

  1. Abra el kit de herramientas de TI y seleccione UEFI Configurator>Configure devices (Configurar dispositivos).

    Captura de pantalla de UEFI Configurator para Surface Hub.

  2. En Elegir compilación de implementación, seleccione DFI.

    Captura de pantalla de elegir Compilación de implementación para Surface Hub.

  3. En Importar protección de certificados, agregue el certificado de intercambio de información personal (PFE) de la organización.

    Captura de pantalla de la protección de certificados de importación.

    Nota

    En este artículo se supone que obtiene certificados de un proveedor de terceros o que ya tiene experiencia en servicios de certificados PKI y que sabe cómo crear los suyos propios. Para obtener más información, consulte los requisitos de certificado SEMM y la documentación de la arquitectura de Certificate Services .

  4. En Tipo de paquete DFI, seleccione Paquete de configuración. En Dispositivo, selecciona Surface Hub>Surface Hub 3 y selecciona Siguiente.

    Captura de pantalla que muestra la selección del paquete de configuración.

  5. En UeFI Password (Contraseña de UEFI ), seleccione Set or Modify Password (Establecer o modificar contraseña ) y, a continuación, escriba y confirme la contraseña. Seleccione Siguiente.

    Captura de pantalla de Establecer contraseña UEFI para Surface Hub.

  6. Opcionalmente, puede configurar componentes y opciones avanzadas, como se describe en la sección Administración de la configuración de UEFI con SEMM, en esta página. De lo contrario, seleccione Siguiente.

  7. Seleccione la unidad USB y elija Create.

    Captura de pantalla que muestra la pantalla para compilar el paquete DFI de UEFI.

  8. Tras la creación correcta del paquete, el configurador muestra los dos últimos caracteres de la huella digital del certificado. Necesitas estos caracteres al importar la configuración a Surface Hub.

Protección física de Surface Hub

La seguridad física es una herramienta tan crucial como la seguridad digital. Dispositivos como Surface Hub en salas de conferencias públicas pueden ser susceptibles a daños físicos o alteraciones. Para proteger Surface Hub, tenga en cuenta los pasos siguientes:

  • Sellos evidentes de alteración: Use sellos evidentes de alteración en el dispositivo. Si alguien intenta abrir el dispositivo, el sello muestra signos de alteración.
  • Cables y bloqueos de seguridad: Use cables de seguridad y bloqueos para proteger el dispositivo a un objeto pesado o inamovible, lo que dificulta que alguien salga con él.
  • Vigilancia: Dependiendo del entorno del lugar de trabajo, puede optar por instalar cámaras de vigilancia en la sala de conferencias. La mera presencia de cámaras puede disuadir a posibles malhechos.

Diferencias con Windows 10 Team en Surface Hub & Surface Hub 2S

Las siguientes características de seguridad ya no están habilitadas de forma predeterminada en Surface Hub en MTR-W:

BitLocker

Puede habilitar BitLocker a través de Intune cuando se une a Microsoft Entra ID (Azure AD). Consulta Cifrar dispositivos Windows con BitLocker en Intune para obtener más información.

Para habilitar BitLocker en un Surface Hub independiente que ejecuta MTR-W

  1. Inicie sesión en Surface Hub con credenciales de administrador.

  2. Seleccione Inicio, escriba **Control y abra Panel de control.

  3. Seleccione System & SecurityBitLocker Drive Encryption (Cifrado> de unidad bitlocker de seguridad > del sistema)Activar BitLocker.

    [Captura de pantalla que muestra cómo activar BitLocker a través de Panel de control.

Integridad de código del modo usuario (UMCI)

UMCI aplica directivas de integridad de código y garantiza que solo se ejecute código de confianza en modo de usuario, lo que ayuda a evitar la ejecución de código malintencionado o que no es de confianza. Puede configurar UMCI a través de directiva de grupo cuando Hub 3 esté unido a un dominio Microsoft Entra o mediante cmdlets de PowerShell. UMCI forma parte de un conjunto de características que puede administrar con Windows Defender Application Control (WDAC), que también incluye directivas de integridad de código configurables. Para obtener más información, consulte Descripción Windows Defender reglas de directivas y reglas de archivo de Control de aplicaciones (WDAC).

Administración de Salas de Microsoft Teams Pro

Se recomienda encarecidamente usar la licencia del portal de administración de Salas de Microsoft Teams Pro. Esta plataforma de administración basada en la nube está diseñada para elevar la experiencia de la sala de reuniones al ofrecer supervisión y actualizaciones proactivas para Salas de Microsoft Teams dispositivos y sus periféricos. Diseñado para organizaciones que buscan optimizar sus entornos de reuniones, este servicio garantiza la supervisión y administración en tiempo real de Salas de Microsoft Teams dispositivos, incluido Surface Hub. Al adoptar esta solución, las organizaciones pueden mejorar significativamente la facilidad de uso y la confiabilidad de los usuarios finales, lo que garantiza experiencias de reunión sin problemas.

  • Operaciones inteligentes: utiliza software y aprendizaje automático para automatizar las actualizaciones, detectar problemas y resolver problemas de Salas de Microsoft Teams.
  • Actualizaciones de seguridad oportunas: la administración automatizada de actualizaciones garantiza que las revisiones de seguridad se apliquen rápidamente a medida que estén disponibles, lo que minimiza la ventana de vulnerabilidad y protege los dispositivos frente a amenazas de seguridad conocidas.
  • Administración de actualizaciones: automatiza la orquestación de las actualizaciones de la aplicación de reunión y Windows en función de los anillos de implementación configurables por el cliente.

Para obtener más información, consulte Administración de Salas de Microsoft Teams Pro.

Administración empresarial de Surface Hub en MTR-W

Se recomienda unir Surface Hub a Microsoft Entra ID (Azure AD) y administrar el dispositivo mediante Microsoft Intune o solución de administración de dispositivos móviles (MDM) equivalente. En la tabla siguiente se describen las opciones de administración de configuración para Intune.

Característica Descripción Más información
Perfiles de configuración de dispositivos Use la configuración de endpoint protection de Intune para configurar Windows Defender, la configuración del firewall y otras características de seguridad para proteger el dispositivo frente a posibles amenazas. Create perfiles de dispositivo en Microsoft Intune
Directivas de cumplimiento de dispositivos Asegúrese de que el dispositivo cumple con los estándares de seguridad de su organización. Si un dispositivo no cumple el cumplimiento (por ejemplo, si no se instala una actualización necesaria), puede configurar notificaciones o acciones de corrección automatizadas. Create directivas de cumplimiento de dispositivos en Microsoft Intune
Administración de actualizaciones Use la configuración predeterminada de administración de actualizaciones para instalar automáticamente las actualizaciones durante una ventana de mantenimiento nocturno. Intune proporciona más opciones para personalizar si es necesario. Windows Update configuración que puede administrar con Intune directivas de anillo de actualización para dispositivos Windows 10/11.
Administración de aplicaciones Usa Intune para administrar las aplicaciones instaladas en Surface Hub en MTR-W. Asegúrese de que solo se instalan y actualizan periódicamente las aplicaciones necesarias relacionadas con la funcionalidad de Salas de Teams. Administración y protección de aplicaciones en Intune
Cifrado de BitLocker Asegúrese de que el almacenamiento del dispositivo está cifrado mediante BitLocker. Esto protege los datos contra el acceso no autorizado o el robo de dispositivos. A diferencia de Surface Hub 2S, BitLocker no está instalado de forma predeterminada. Cifrado de dispositivos Windows con BitLocker en Intune
Solución de contraseña de administrador local de Windows Windows LAPS administra automáticamente las contraseñas de administrador local, lo que garantiza que estén aleatorias y almacenadas de forma segura en Microsoft Entra ID (Azure AD). Esto reduce el riesgo asociado a contraseñas de administrador obsoletas o ampliamente conocidas. Microsoft Intune compatibilidad con Windows LAPS
Acceso condicional Configure directivas de acceso condicional para asegurarse de que el dispositivo solo puede acceder a los recursos corporativos cuando cumple condiciones específicas, como el cumplimiento de directivas de seguridad. Uso del acceso condicional con directivas de cumplimiento de Microsoft Intune
Seguridad de red Asegúrese de que el dispositivo está conectado a un segmento de red seguro. Use Intune para configurar Wi-Fi opciones, VPN u otras configuraciones de red para proteger los datos en tránsito. Create un perfil de Wi-Fi para los dispositivos de Microsoft Intune

Puntos de conexión de la red para Microsoft Intune
Borrado y bloqueo remotos En caso de un incidente de seguridad, asegúrese de que puede bloquear o borrar el dispositivo de forma remota mediante Intune. Retirar o borrar dispositivos mediante Microsoft Intune
Auditoría y supervisión Revise periódicamente los registros de auditoría y configure alertas para actividades sospechosas. Intune se integra con Microsoft Endpoint Manager y otras soluciones de seguridad de Microsoft, lo que proporciona una vista holística de la seguridad de los dispositivos. Auditar los cambios y eventos en Microsoft Intune
Entrenamiento de usuarios Instruya a los usuarios sobre cómo no dejar la información confidencial visible en la pantalla.

Si su organización tiene Prevención de pérdida de datos de Microsoft Purview (DLP), puede definir directivas que impidan que los usuarios compartan información confidencial en un canal de Microsoft Teams o una sesión de chat.		 Prevención de pérdida de datos y Microsoft Teams

Administración de la configuración de directiva de grupo en escenarios unidos a un dominio

Al integrar Salas de Teams con un dominio, es imperativo establecer una unidad organizativa (UO) independiente y dedicada específicamente para Salas de Teams. Este enfoque permite la aplicación de exclusiones de objetos directiva de grupo (GPO) directamente a esta unidad organizativa, lo que garantiza que solo las directivas pertinentes afecten a Salas de Teams objetos.

  • Deshabilite la herencia de GPO. Es fundamental deshabilitar toda la herencia de GPO dentro de esta unidad organizativa para evitar la aplicación de la configuración de directiva de grupo no admitida o irrelevante para Salas de Teams.

  • Aplique GPO a la unidad organizativa antes de unirse a un dominio. Asegúrese de que los objetos de máquina para Salas de Teams se crean dentro de esta unidad organizativa específica antes de la unión al dominio. Este paso es esencial para evitar la aplicación involuntaria de directivas de unidad organizativa de equipo predeterminadas para Salas de Teams y mantener la configuración y la posición de seguridad previstas.

Para obtener más información sobre la configuración de directiva de grupo en escenarios unidos a un dominio, consulte los siguientes recursos:

Administrar la configuración de UEFI con SEMM

SEMM permite a los administradores de TI bloquear las características en el nivel de firmware que podría desear implementar en función de la posición de seguridad del entorno. Abra Surface UEFI Configurator, como se explicó anteriormente, y vaya a las pantallas siguientes:

Captura de pantalla que muestra los componentes y la configuración avanzada para activar o desactivar.

Para obtener descripciones de configuración, consulte Referencia de configuración de UEFI de SEMM.

Multiproceso simultáneo (SMT)

Conocido comúnmente como hiperthreading en procesadores Intel, SMT permite que un único núcleo de CPU físico ejecute varios subprocesos simultáneamente. Esto puede mejorar el rendimiento en aplicaciones multiproceso. Sin embargo, hay escenarios específicos en los que es posible que desee controlar la configuración de SMT. Algunas vulnerabilidades, como los ataques de canal lateral de ejecución especulativa (por ejemplo, error de terminal L1, vulnerabilidades mds), pueden aprovechar SMT para acceder a datos confidenciales. Deshabilitar SMT puede mitigar el riesgo asociado a estas vulnerabilidades, aunque a costa de cierto rendimiento. SMT está habilitado de forma predeterminada.

IPv6 para el arranque PXE

Si la infraestructura de red y los controles de seguridad están diseñados principalmente en torno a IPv4 y todavía necesitan estar totalmente equipados para controlar el tráfico IPv6 de forma segura, habilitar IPv6 para el arranque PXE podría presentar vulnerabilidades. Esto se debe a que IPv6 podría omitir algunos de los controles de seguridad existentes para IPv4.

Aunque la habilitación de IPv6 para el arranque PXE se alinea con el movimiento más amplio del sector hacia la adopción de IPv6, es esencial asegurarse de que la infraestructura de red, los controles de seguridad y las prácticas operativas están equipados para controlar IPv6 de forma segura. Si no es así, podría ser más seguro mantener IPv6 para el arranque PXE deshabilitado hasta que esas medidas estén en vigor.

Arranque alternativo & arranque USB

La capacidad de arrancar desde otro origen, como un dispositivo USB o Ethernet, proporciona flexibilidad para la recuperación del sistema, pero también puede introducir vulnerabilidades:

  • Sistemas operativos no autorizados: si el arranque alternativo está habilitado, un atacante con acceso físico al dispositivo podría arrancar el sistema mediante un sistema operativo no autorizado desde una unidad USB. Esto podría omitir los controles de seguridad del sistema operativo principal.
  • Extracción de datos: un atacante podría arrancar desde un dispositivo externo a un sistema que permita el acceso directo al almacenamiento interno, lo que podría extraer datos confidenciales.
  • Instalación de malware: el arranque desde un origen que no es de confianza podría introducir malware, rootkits u otro software malintencionado en el nivel del sistema.

Dadas estas implicaciones, las organizaciones en entornos de trabajo altamente seguros podrían optar por deshabilitar el arranque alternativo y el arranque USB para reducir el riesgo de acceso o manipulación no autorizados.

Bloqueo de orden de arranque

Al habilitar el "Bloqueo de orden de arranque", se mejora la posición de seguridad asegurándose de que solo arranca desde orígenes autorizados. El bloqueo del pedido de arranque está desactivado de forma predeterminada.

Obtén más información