Consideraciones de seguridad para los fabricantes de equipos originales
Artículo
Como fabricante de equipos originales (OEM), tiene una oportunidad única de mejorar la eficacia de las medidas de seguridad disponibles para sus clientes. Los clientes desean y necesitan proteger sus dispositivos. Las características de seguridad de Windows 10 se basan en hardware y firmware habilitados para la más alta seguridad. Ahora le toca a usted. Para proporcionar un diferenciador para los dispositivos o vender en el espacio Enterprise, proporcionará las últimas mejoras del hardware, con las que Windows 10 se pueden configurar para una mayor seguridad.
Windows 10 S es una configuración específica de Windows 10 Pro que ofrece una experiencia familiar de Windows optimizada para una mejor seguridad y rendimiento. Windows 10 S proporciona lo mejor de la nube y aplicaciones con todo tipo de características.También está diseñando para dispositivos modernos. Microsoft Defender está siempre activado y actualizado.
Windows 10 S ejecutará únicamente aplicaciones verificadas en la Store y controladores verificados en Windows Update. Windows 10 S proporciona compatibilidad con Azure Active Directory y, cuando se empareja con una MSA o Intune para Educación, Windows 10 S almacena archivos de forma predeterminada en OneDrive.
El cifrado de dispositivos BitLocker es un conjunto de características habilitadas por un OEM mediante el suministro de un conjunto adecuado de hardware en los dispositivos que vende. Sin la configuración de hardware adecuada, el cifrado de dispositivos se habilitará. Con las configuraciones de hardware adecuadas, Windows 10 cifra automáticamente un dispositivo.
El arranque seguro es un estándar de seguridad desarrollado por miembros de la industria informática para ayudar a garantizar que cualquier equipo arranca únicamente con el software que el fabricante considera como fiable. Cuando se inicia el equipo, el firmware comprueba la firma de cada elemento del software de arranque, incluidos los controladores del firmware (las ROM de opción), las aplicaciones EFI y el sistema operativo. Si las firmas son válidas, el equipo arrancará y el firmware proporcionará el control al sistema operativo.
Los OEM: Para más información sobre los requisitos de arranque seguro para los OEM, consulten: Arranque seguro.
Módulo de plataforma segura (TPM) 2.0
La tecnología del Módulo de plataforma segura (TPM) está diseñado para ofrecer funciones relacionadas con la seguridad y el hardware. Un chip TPM es un procesador de criptografía seguro que te ayuda a con acciones, tales como generar y almacenar claves criptográficas, así como limitar su uso. El chip incluye varios mecanismos de seguridad física que hacen que sea resistente a las alteraciones y que las funciones de seguridad no permitan que el software malintencionado realice alteraciones.
Nota
A partir del 28 de julio de 2016, todos los modelos, líneas o series nuevos de dispositivos (o, si va a actualizar la configuración de hardware de un modelo, línea o serie existente con una actualización importante, como la de la CPU o tarjetas gráficas) deben implementar y habilitar de forma predeterminada el TPM 2.0 (detalles en la sección 3.7 de la página Minimum hardware requirements, "Requisitos de hardware mínimos"). El requisito para poder habilitar el TPM 2.0 se aplica únicamente a la fabricación de nuevos dispositivos.
Profesionales de TI: Para comprender cómo funciona el TPM en su empresa, consulten: Módulo de plataforma segura.
Requisitos de la interfaz de firmware extensible unificada (UEFI)
La UEFI es un sustituto de la interfaz de firmware del antiguo sistema básico de entrada/salida (BIOS). Cuando se inician los dispositivos, la interfaz del firmware controla el proceso de arranque del equipo y, a continuación, pasa el control a Windows u otro sistema operativo. La UEFI habilita características de seguridad como el arranque seguro y las unidades cifradas de fábrica que ayudan a evitar que se ejecute código que no es de confianza antes de cargar el sistema operativo. A partir de Windows 10, versión 1703, Microsoft requiere la especificación UEFI, versión 2.3.1c. Para más información sobre los requisitos del OEM para UEFI, consulte: Requisitos de firmware de UEFI.
Los OEM: Para obtener más información sobre lo que necesitan hacer para admitir controladores de UEFI, consulten: UEFI en Windows.
Seguridad basada en virtualización (VBS)
Las características de seguridad basadas en hardware, también denominada seguridad basada en virtualización o VBS, proporcionan aislamiento del kernel seguro desde un sistema operativo normal. Debido a este aislamiento, no es posible aprovechar las vulnerabilidades de día 0 ni otras similares en el sistema operativo.
La Protección de aplicaciones ayuda a aislar los sitios que la empresa considera que no son de confianza. Así se mantiene protegida la compañía mientras sus empleados navegan por Internet.
Si va a vender dispositivos a clientes empresariales, deberá proporcionar hardware que admita las características de seguridad que necesitan las empresas.
Credential Guard usa una seguridad basada en virtualización para aislar y proteger los secretos (por ejemplo, los hash de contraseña NTLM y las solicitudes de concesión de solicitudes de Kerberos) para bloquear los ataques de tipo "pass-the-hash" o "pass-the-ticket".
La integridad de código protegido por hipervisor es una combinación de características de seguridad de hardware y software relacionadas con la empresa que, cuando se configuran al unísono, asegurarán que un dispositivo solo ejecute las aplicaciones de confianza definidas en las directivas de integridad del código.
A partir de Windows 10, 1703, las características de Device Guard de Microsoft Defender se han agrupado en dos nuevas características: Protección contra vulnerabilidades de seguridad de Microsoft Defender y Control de aplicaciones de Microsoft Defender. Cuando ambos están habilitados, la integridad de código protegido por hipervisor también lo está.
Los OEM: Para obtener más información sobre los requisitos de hardware de la integridad de código protegido por hipervisor, consulten: Seguridad basada en virtualización (VBS).
Las características de seguridad basadas en hardware, a las que también conocemos como protección de acceso a memoria, proporcionan aislamiento y protección contra los ataques DMA maliciosos durante el proceso de arranque y el tiempo de ejecución del sistema operativo.
Los OEM: Para obtener más información sobre los requisitos de la plataforma en cuanto a la protección contra DMA de Kernel, consulten: Protección contra DMA de Kernel para los OEM.
Profesionales de TI: Para obtener más información sobre las directivas de la protección contra DMA de Kernel y la experiencia del usuario, consulten: Protección contra DMA de Kernel.
Windows Hello
Microsoft Windows Hello proporciona a los usuarios una experiencia personal y segura en la que el dispositivo se autentica en función de su presencia. Los usuarios pueden iniciar sesión con una mirada o un toque, sin necesidad de una contraseña. Junto con Microsoft Passport, la autenticación biométrica usa huellas dactilares o reconocimiento facial, por lo que es más segura, personal y cómoda.
Learn about advanced firmware and security features of Microsoft Surface devices, Surface UEFI, Project Mu, configuring Virtualization-based Security and Memory Integrity in Windows, and Firmware Attack Surface Reduction.
Planee y ejecute una estrategia de implementación de puntos de conexión mediante elementos esenciales de la administración moderna, los enfoques de administración conjunta y la integración de Microsoft Intune.
En este documento se proporciona información general sobre las Windows 10 equipos principales protegidos y la seguridad de Windows de línea base para los responsables de la toma de decisiones de compra de dispositivos.
En este documento se proporciona información general sobre los equipos de núcleo seguro de Windows 11 y la seguridad de Windows de línea base para los responsables de la toma de decisiones de compra de dispositivos.