Protección de datos en la empresa
Aunque es importante proteger los datos en reposo, no solo en los servidores ubicados en el entorno local y en la nube, sino también en los dispositivos de los usuarios. Ha obtenido información sobre algunas de las funcionalidades de administración de dispositivos que pueden ayudar a proteger los datos en reposo en los dispositivos de los usuarios; sin embargo, también debe usar características integradas en la plataforma del dispositivo cliente para mejorar esta protección de datos.
Windows incluye muchas características de seguridad destinadas específicamente a organizaciones grandes. Entre otras características, esta versión implementa nuevas tecnologías de identidad de usuario para reducir la dependencia de las contraseñas elegidas por el usuario, el almacenamiento de credenciales mejorado para limitar el impacto de los equipos en peligro en otros sistemas y el software mejorado permite o bloquea para proteger dispositivos bloqueados, como terminales de punto de servicio contra malware. Sin embargo, las organizaciones deben seleccionar la edición Enterprise del sistema operativo; implementar hardware, software y servicios de requisitos previos; y invertir tiempo y dinero para implementar la protección mejorada con éxito.
Atestación de estado del dispositivo Windows
La atestación de estado del dispositivo Windows garantiza que el sistema operativo no se ha alterado ni puesto en peligro y ayuda a comprobar el estado general del sistema. Ciertos servicios (como el correo electrónico de Exchange, SharePoint o Microsoft Entra pertenencia) aprovechan este servicio y pueden no permitir el acceso hasta que un equipo windows enterprise edition cumpla ciertas calificaciones.
Por ejemplo, cuando un usuario intenta unir un nuevo equipo Windows al Microsoft Entra ID, el servicio de directorio hospedado por Microsoft, el acceso condicional puede comprobar la integridad del equipo mediante la atestación de mantenimiento de dispositivos Windows y, a continuación, asegurarse de que bitlocker, arranque seguro o Virtualization-Based características de seguridad como Credential Guard están habilitadas. Si un usuario decide no permitir que se configure esta configuración, se deniega el acceso al recurso solicitado.
Esta funcionalidad requiere el uso de "autenticación moderna". La autenticación moderna es el nombre que Usa Microsoft para describir la biblioteca de Autenticación de Azure AD (ADAL) para clientes y otras tecnologías que implementan la autenticación mediante los protocolos OAuth 2.0 y OpenID Connect. Microsoft ha integrado estas tecnologías de forma nativa en Windows y Office y en servicios hospedados por Microsoft, como Microsoft 365.
Windows Information Protection
Windows Information Protection (WIP) anteriormente Enterprise Data Protection (EDP) es una característica de Windows Pro y Enterprise. La característica está pensada para proteger los datos de la organización, independientemente de las acciones de los usuarios finales.
Cuando está habilitado, WIP busca contenido que se descarga de SharePoint, Office 365 y servidores web corporativos y servidores de archivos. Ofrece una variedad de controles, desde bloquear la descarga de contenido, advertir a los usuarios o auditar su acceso para evitar que los datos se compartan fuera de la organización.
El contenido descargado en el dispositivo está protegido automáticamente por WIP y solo las aplicaciones aprobadas pueden acceder al contenido. Una organización también puede optar por borrar de forma segura los datos del dispositivo mediante Configuration Manager, Intune o administración de dispositivos móviles (MDM) de terceros.
WIP proporcionará cifrado en reposo mediante el Sistema de cifrado de archivos (EFS) de Microsoft y también usará la funcionalidad de servicios de Azure Rights Management hospedados por Microsoft, que se incluye con Microsoft 365, para proteger los datos cuando los datos salen fuera del límite de red corporativa o cuando llegan a plataformas que no son de Windows, como iOS y Android.
Perfiles de VPN
Windows ofrece un control más preciso del software de red privada virtual (VPN) en el cliente a través de perfiles de VPN. Windows ofrece la configuración de Microsoft y selecciona perfiles de VPN de terceros en equipos cliente mediante directiva de grupo, Intune o MDM de terceros. La configuración centralizada de perfiles de VPN puede ayudar a proporcionar buenos valores predeterminados para el tráfico de red desde aplicaciones y dispositivos que la organización desea proteger.
Con la actualización de noviembre, los perfiles de VPN se pueden establecer para que estén siempre activados cuando un usuario haya iniciado sesión o desencadenado por una aplicación de Windows especificada. El tráfico VPN también se puede configurar para aplicaciones específicas o tráfico de red, o el administrador puede especificar que un dispositivo está bloqueado, lo que significa que todo el tráfico de red debe producirse a través de una VPN.