Protección de identidades de Windows
Obtenga más información sobre las tecnologías de protección de identidades en Windows.
Advertencia
las claves de seguridad Windows Hello para empresas y FIDO2 son métodos modernos de autenticación en dos fases para Windows. Se recomienda a los clientes que usan tarjetas inteligentes virtuales que pasen a Windows Hello para empresas o FIDO2. En el caso de las nuevas instalaciones de Windows, se recomienda Windows Hello para empresas o las claves de seguridad FIDO2.
Inicio de sesión sin contraseña
Nombre de la característica | Descripción |
---|---|
Windows Hello para empresas | Windows 11 dispositivos pueden proteger las identidades de usuario mediante la eliminación de la necesidad de usar contraseñas desde el primer día. Es fácil empezar a trabajar con el método adecuado para su organización. Es posible que solo sea necesario usar una contraseña una vez durante el proceso de aprovisionamiento, después de lo cual los usuarios usan un PIN, una cara o una huella digital para desbloquear las credenciales e iniciar sesión en el dispositivo. Windows Hello para empresas reemplaza el nombre de usuario y la contraseña combinando una clave de seguridad o un certificado con un PIN o datos biométricos y, a continuación, asignando las credenciales a una cuenta de usuario durante la instalación. Hay varias maneras de implementar Windows Hello para empresas, en función de las necesidades de su organización. Las organizaciones que se basan en certificados suelen usar la infraestructura de clave pública (PKI) local para admitir la autenticación a través de la confianza de certificados. Las organizaciones que usan la implementación de confianza clave requieren la raíz de confianza proporcionada por los certificados en los controladores de dominio. |
Detección de presencia de Windows | La detección de presencia de Windows proporciona otra capa de protección de seguridad de datos para los trabajadores híbridos. Windows 11 dispositivos se pueden adaptar de forma inteligente a su presencia para ayudarle a mantenerse seguro y productivo, ya sea que trabaje en casa, en la oficina o en un entorno público. La detección de presencia de Windows combina sensores de detección de presencia con Windows Hello reconocimiento facial para bloquear automáticamente el dispositivo al salir y, a continuación, desbloquear el dispositivo e iniciar sesión con Windows Hello reconocimiento facial al volver. Requiere hardware compatible con OEM. |
Windows Hello para empresas inicio de sesión de seguridad mejorada (ESS) | Windows Hello biometría también admite una seguridad de inicio de sesión mejorada, que usa componentes de hardware y software especializados para aumentar aún más la barra de seguridad para el inicio de sesión biométrico. La biometría de seguridad de inicio de sesión mejorada usa VBS y el TPM para aislar los procesos y datos de autenticación de usuario y proteger la ruta por la que se comunica la información. Estos componentes especializados protegen contra una clase de ataques que incluyen la inyección de muestras biométricas, la reproducción, la manipulación y mucho más. Por ejemplo, los lectores de huellas digitales deben implementar el Protocolo de conexión de dispositivo seguro, que usa la negociación de claves y un certificado emitido por Microsoft para proteger y almacenar de forma segura los datos de autenticación de usuario. Para el reconocimiento facial, componentes como la tabla Dispositivos seguros (SDEV) y el aislamiento de procesos con trustlets ayudan a evitar ataques de clase adicional. |
Experiencia sin contraseña de Windows | La experiencia sin contraseña de Windows es una directiva de seguridad que tiene como objetivo crear una experiencia más fácil de usar para Microsoft Entra dispositivos unidos mediante la eliminación de la necesidad de contraseñas en determinados escenarios de autenticación. Al habilitar esta directiva, a los usuarios no se les dará la opción de usar una contraseña en estos escenarios, lo que ayuda a las organizaciones a pasar de las contraseñas con el tiempo. |
Passkeys | Las claves de acceso proporcionan un método más seguro y cómodo para iniciar sesión en sitios web y aplicaciones en comparación con las contraseñas. A diferencia de las contraseñas, que los usuarios deben recordar y escribir, las claves de paso se almacenan como secretos en un dispositivo y pueden usar el mecanismo de desbloqueo de un dispositivo (como la biometría o un PIN). Las claves de acceso se pueden usar sin necesidad de otros desafíos de inicio de sesión, lo que hace que el proceso de autenticación sea más rápido, seguro y más cómodo. |
Clave de seguridad FIDO2 | Las especificaciones de CTAP y WebAuthN definidas por Fast Identity Online (FIDO) se están convirtiendo en el estándar abierto para proporcionar una autenticación sólida que no es fácil de usar, fácil de usar y respeta la privacidad con implementaciones de los principales proveedores de plataformas y usuarios de confianza. Los estándares y certificaciones de FIDO se están convirtiendo en el estándar líder para crear soluciones de autenticación seguras en empresas, gobiernos y mercados de consumidores. Windows 11 puede usar claves de seguridad FIDO2 externas para la autenticación junto con o además de Windows Hello que también es una solución sin contraseña certificada FIDO2. Windows 11 se puede usar como autenticador FIDO para muchos servicios de administración de identidades populares. |
Tarjetas inteligentes para el servicio de Windows | Las organizaciones también tienen la opción de usar tarjetas inteligentes, un método de autenticación que pre-fecha el inicio de sesión biométrico. Las tarjetas inteligentes son dispositivos de almacenamiento portátiles resistentes a alteraciones que pueden mejorar la seguridad de Windows al autenticar clientes, firmar código, proteger el correo electrónico e iniciar sesión con cuentas de dominio de Windows. Las tarjetas inteligentes solo se pueden usar para iniciar sesión en cuentas de dominio, no en cuentas locales. Cuando se usa una contraseña para iniciar sesión en una cuenta de dominio, Windows usa el protocolo Kerberos versión 5 (v5) para la autenticación. Si usa una tarjeta inteligente, el sistema operativo usa la autenticación Kerberos v5 con certificados X.509 v3. |
Protección avanzada de credenciales
Nombre de la característica | Descripción |
---|---|
Inicio de sesión web | El inicio de sesión web es un proveedor de credenciales introducido inicialmente en Windows 10 con compatibilidad solo con el pase de acceso temporal (TAP). Con la versión de Windows 11, se han ampliado los escenarios y funcionalidades admitidos del inicio de sesión web. Por ejemplo, los usuarios pueden iniciar sesión en Windows mediante la aplicación Microsoft Authenticator o con una identidad federada. |
Inicio de sesión federado | Windows 11 Educación ediciones admiten el inicio de sesión federado con proveedores de identidades que no son de Microsoft. El inicio de sesión federado permite el inicio de sesión seguro a través de métodos como códigos QR o imágenes. |
Windows LAPS | Windows Local Administrator Password Solution (Windows LAPS) es una característica de Windows que administra y realiza copias de seguridad automáticamente de la contraseña de una cuenta de administrador local en los dispositivos unidos a Microsoft Entra o unidos a Windows Server Active Directory. También puede usar Windows LAPS para administrar y realizar copias de seguridad automáticamente de la contraseña de la cuenta del Modo de restauración de servicios de directorio (DSRM) en los controladores de dominio de Windows Server Active Directory. Un administrador autorizado puede recuperar la contraseña de DSRM y usarla. |
Directiva de bloqueo de cuenta | La configuración de directiva de bloqueo de cuenta controla el umbral de respuesta para los intentos de inicio de sesión con errores y las acciones que se deben realizar después de alcanzar el umbral. |
Protección contra suplantación de identidad mejorada con SmartScreen | Los usuarios que siguen usando contraseñas pueden beneficiarse de una protección eficaz de credenciales. Microsoft Defender SmartScreen incluye protección de suplantación de identidad mejorada para detectar automáticamente cuándo un usuario escribe su contraseña de Microsoft en cualquier aplicación o sitio web. A continuación, Windows identifica si la aplicación o el sitio se autentican de forma segura en Microsoft y advierte si las credenciales están en riesgo. Dado que se alerta a los usuarios en el momento de un posible robo de credenciales, pueden tomar medidas preventivas antes de que su contraseña se use en ellos o en su organización. |
Access Control (ACL/SACL) | El control de acceso en Windows garantiza que los recursos compartidos están disponibles para usuarios y grupos distintos del propietario del recurso y están protegidos contra el uso no autorizado. Los administradores de TI pueden administrar el acceso de usuarios, grupos y equipos a objetos y recursos en una red o equipo. Una vez autenticado un usuario, el sistema operativo Windows implementa la segunda fase de protección de recursos mediante tecnologías integradas de autorización y control de acceso para determinar si un usuario autenticado tiene los permisos correctos. Access Control Listas (ACL) describe los permisos para un objeto específico y también puede contener system Access Control Listas (SACL). Las SACL proporcionan una manera de auditar eventos de nivel de sistema específicos, como cuando un usuario intenta acceder a objetos del sistema de archivos. Estos eventos son esenciales para realizar un seguimiento de la actividad de objetos que son confidenciales o valiosos y requieren supervisión adicional. Poder auditar cuando un recurso intenta leer o escribir parte del sistema operativo es fundamental para comprender un posible ataque. |
Credential Guard | Habilitado de forma predeterminada en Windows 11 Empresas, Credential Guard usa seguridad basada en virtualización (VBS) respaldada por hardware para protegerse contra el robo de credenciales. Con Credential Guard, la autoridad de seguridad local (LSA) almacena y protege los secretos en un entorno aislado que no es accesible para el resto del sistema operativo. LSA usa llamadas a procedimiento remoto para comunicarse con el proceso LSA aislado. Al proteger el proceso LSA con la seguridad basada en virtualización, Credential Guard protege los sistemas de las técnicas de ataque de robo de credenciales, como pass-the-hash o pass-the-ticket. También ayuda a evitar que el malware acceda a los secretos del sistema incluso si el proceso se ejecuta con privilegios de administrador. |
Credential Guard remoto | Credential Guard remoto le ayuda a proteger sus credenciales a través de una conexión de Escritorio remoto redirigiendo las solicitudes kerberos de vuelta al dispositivo que solicita la conexión. También proporciona experiencias de inicio de sesión único para sesiones de Escritorio remoto. Las credenciales de administrador tienen privilegios elevados y deben protegerse. Cuando se usa Remote Credential Guard para conectarse durante las sesiones de Escritorio remoto, las credenciales y los derivados de credenciales nunca se pasan a través de la red al dispositivo de destino. Si el dispositivo de destino está en peligro, las credenciales no se exponen. |