Equipos de núcleo seguro de Windows 10
Microsoft trabaja estrechamente con asociados oem para ayudar a garantizar que todos los sistemas Windows certificados proporcionan un entorno operativo seguro. Windows se integra estrechamente con el hardware para ofrecer protecciones que aprovechan las funcionalidades de hardware disponibles:
- Seguridad de Windows de línea base: línea base recomendada para todos los sistemas individuales que proporcionan protecciones de integridad del sistema fundamentales. Aprovecha TPM 2.0 para una raíz de confianza de hardware, el arranque seguro y el cifrado de unidad BitLocker.
- Seguridad basada en virtualización habilitada: aprovecha las funcionalidades de virtualización del hardware y el hipervisor para proporcionar protección adicional para subsistemas y datos críticos.
- Núcleo protegido: recomendado para los sistemas y sectores más sensibles, como las agencias financieras, sanitarias y gubernamentales. Se basa en las capas anteriores y aprovecha las funcionalidades avanzadas del procesador para proporcionar protección frente a ataques de firmware.
Pc de núcleo protegido
Microsoft está trabajando estrechamente con asociados oem y proveedores de silicio para crear equipos de núcleo protegido que incluyan hardware, firmware y software profundamente integrados para garantizar una mayor seguridad para dispositivos, identidades y datos.
Los equipos de núcleo protegido proporcionan protecciones útiles contra ataques sofisticados y pueden proporcionar mayor seguridad al controlar datos críticos en algunos de los sectores más confidenciales de datos, como los trabajadores sanitarios que controlan registros médicos y otra información de identificación personal (PII), roles comerciales que controlan un alto impacto empresarial y datos altamente confidenciales, como un controlador financiero con datos de ganancias.
Para portátiles de uso general, tabletas, 2 en 1 estaciones de trabajo móviles y escritorios, Microsoft recomienda usar líneas base de seguridad para una configuración óptima. Para obtener más información, consulta Líneas base de seguridad de Windows.
La seguridad de Windows de línea base es compatible con el arranque seguro, el cifrado de dispositivos Bitlocker, Microsoft Defender, Windows Hello y un chip TPM 2.0 para proporcionar una raíz de confianza de hardware para la plataforma del sistema operativo. Estas características están diseñadas para proteger dispositivos modernos de uso general. Si es un responsable de la toma de decisiones que compra nuevos dispositivos, los dispositivos deben cumplir los requisitos de seguridad de Windows previstos.
Además, Windows 10 en modo S proporciona una capa adicional de seguridad con flexibilidad. El modo S es una configuración que está disponible en todas las ediciones de Windows. Al asegurarse de que solo se ejecutan aplicaciones de confianza en el sistema, el modo S mantiene la experiencia de Windows rápida y protegida. Esto incluye algunos costos en términos de compatibilidad, pero Intune también permite a los clientes instalar aplicaciones en un sistema en modo S, al tiempo que mantiene las protecciones del modo S frente a la ejecución de aplicaciones que no son de confianza.
Lo que hace que un equipo de núcleo protegido
| Prestación | Característica | Requisito de hardware o firmware | Seguridad de Windows de línea base | Pc de núcleo protegido |
|---|---|---|---|---|
| Creación de una raíz de confianza respaldada por hardware | Módulo de plataforma segura 2.0 (TPM) | Cumplir los requisitos más recientes de Microsoft para la especificación de Trusted Computing Group (TCG) | V | V |
| Raíz dinámica de confianza para la medición (DRTM) | Habilitado en el dispositivo (a través del inicio seguro) | V | ||
| Modo de administración del sistema (SMM) | Habilitado en el dispositivo (a través de Protección del sistema) | V | ||
| Arranque seguro | El arranque seguro está habilitado en el BIOS de forma predeterminada. | V | V | |
| Protección de acceso a memoria | El dispositivo admite la protección de acceso a memoria (protección contra DMA del kernel) | V | ||
| Garantizar la integridad de código segura | Integridad de código del hipervisor (HVCI) | Habilitado en el dispositivo | V | |
| Proporcionar protección y comprobación de identidades avanzadas | Windows Hello | Si el dispositivo admite Windows Hello, esas implementaciones deben ser capaces de iniciar sesión mejorado. "Capaz" significa:
|
V* | V |
| Proteger los datos críticos si un dispositivo se pierde, se roba o confisca | Cifrado de BitLocker | BitLocker puede aprovechar el TPM2.0 para cifrar y proteger los datos" | V | V |
*Posible en algunos dispositivos