Mejoras de seguridad y protección de datos en Windows Vista

  • Artículo

Las nuevas características hacen que Windows Vista sea incluso más seguro que los anteriores sistemas operativos de cliente de Windows.

Publicado: junio 1, 2005

Por Tony Northrup

 

Las amenazas de seguridad evolucionan constantemente. Para estar protegido frente a las amenazas de Internet y de redes inalámbricas, el sistema operativo de cliente Microsoft Windows también debe evolucionar. Windows Vista es el sistema operativo más seguro y confiable de Windows hasta el momento, y ayudará a las empresas a alcanzar los objetivos comerciales e informáticos con confianza. Este artículo describe las mejoras de seguridad más importantes, los beneficios que éstas proporcionan y la razón por la cual las nuevas características son importantes para los profesionales del campo de TI.

*

 

En esta página

Descripción general Descripción general
Protección de cuentas de usuario Protección de cuentas de usuario
Autenticación Autenticación
Protección contra código dañino Protección contra código dañino
Protección de acceso a la red Protección de acceso a la red
Servidor de seguridad Servidor de seguridad
Endurecimiento de Servicios de Windows Endurecimiento de Servicios de Windows
Mejoras a Internet Explorer Mejoras a Internet Explorer
Protección de datos Protección de datos

 

Descripción general

Microsoft realiza importantes inversiones en tecnología para hacer que los clientes tengan mayor seguridad. Parte de estos esfuerzos consiste en utilizar un ciclo de vida de desarrollo de seguridad para desarrollar software más seguro y proporcionar innovaciones tecnológicas en la plataforma para ofrecer varios niveles de defensa o "defensa en profundidad". Windows Vista incluye muchas características y mejoras de seguridad para proteger equipos cliente frente a la última generación de amenazas, entre las que se incluyen gusanos, virus y otro software malintencionado (conocidas en forma conjunta como código dañino o malware).

  • Protección de cuentas de usuario permite a los usuarios trabajar y cambiar la configuración común sin necesidad de tener privilegios de administrador. Esto evita que los usuarios realicen cambios potencialmente peligrosos en sus equipos, sin que esto limite su capacidad de ejecutar aplicaciones.
  • El explorador Web integrado de Windows Vista, Microsoft Internet Explorer (IE), incluye muchas mejoras de seguridad que protegen a los usuarios del "phishing" y de ataques de suplantación de identidad. Las nuevas características incluyen Internet Explorer en modo protegido, que ayuda a evitar la eliminación o modificación de valores de configuración y de datos de los usuarios por parte de sitios Web malintencionados o de código dañino.
  • Las funciones de Windows Vista contra el código dañino detectan muchos tipos de software potencialmente sospechosos y pueden preguntar al usuario si desean permitir que las aplicaciones realicen cambios que podrían ser malintencionados.
  • El nuevo filtro de salida del servidor de seguridad proporciona control administrativo para aplicaciones de igual a igual que permiten compartir archivos y otras aplicaciones similares que las empresas deseen restringir.
  • El Endurecimiento de Servicios de Windows limita el daño que pueden causar los atacantes en el improbable caso de que logren poner en peligro un servicio. Esto reduce el riesgo de que los atacantes realicen cambios permanentes en el cliente de Windows Vista o que ataquen otros equipos de la red.
  • Los administradores pueden utilizar la protección de acceso a la red para evitar que los clientes que no cumplan con la directiva interna de mantenimiento del sistema se conecten a la red interna y distribuyan código dañino a otros equipos.

Gracias al inicio seguro, los usuarios de empresas con equipos que cuentan con el correspondiente hardware de habilitación se pueden beneficiar de la protección de datos en caso de pérdida o robo de equipos. Las unidades de disco duro de un equipo que se ejecuta con inicio seguro estarán completamente cifradas lo que impide el acceso a los datos, los archivos, los mensajes de correo electrónico y la propiedad intelectual para cualquiera que trate de utilizar un equipo sin permiso.

Finalmente, para asegurar que los departamentos de TI puedan elegir entre una gran variedad de mecanismos de autenticación, Windows Vista incluye una nueva arquitectura de autenticación que otros fabricantes podrán ampliar con mayor facilidad. En última instancia, esto hará posible contar con una mayor opción de tarjetas inteligentes, escáneres de huellas digitales y otras formas de autenticación segura. Todas estas mejoras de seguridad harán que los usuarios tengan más confianza al utilizar sus PC.

Principio de la páginaPrincipio de la página

Protección de cuentas de usuario

En la actualidad, muchos usuarios de Windows trabajan con privilegios de administrador en la empresa y en el hogar. Utilizar la cuenta como administrador hace que el escritorio sea difícil de administrar y podría acarrear altos costos de soporte técnico. Implementar escritorios sin que los usuarios sean administradores puede ahorrar costos debido a que un usuario no administrativo ya no podrá configurar accidentalmente la red de manera equivocada ni instalar una aplicación que pudiera afectar la estabilidad del sistema. Trabajar sin privilegios de administrador en la actualidad es un desafío, ya que muchas aplicaciones no pueden ejecutarse y los usuarios finales se frustran por la imposibilidad de realizar tareas comunes, como agregar impresoras. En Windows Vista, la iniciativa Protección de cuentas de usuario introduce cambios fundamentales en el sistema operativo para mejorar la experiencia de los usuarios no son administradores. Por ejemplo, en el contexto de la empresa, el usuario de un equipo portátil podrá establecer una clave WEP para una red inalámbrica particular, instalar una impresora, descargar e instalar actualizaciones de aplicaciones, configurar una conexión de red privada virtual (VPN) y realizar muchas otras tareas comunes; y todo mientras utiliza una cuenta sin privilegios de administrador.

De forma predeterminada, Windows Vista ejecuta la mayoría de las aplicaciones con permisos limitados, aún cuando el usuario inicia sesión en su equipo con privilegios de administrador. Esto no impedirá que los usuarios realicen tareas administrativas para las cuales se le han concedido permisos. Cuando los usuarios intentan realizar tareas administrativas, Windows Vista les solicita explícitamente que las confirmen o que proporcionen credenciales administrativas, según la configuración de la directiva que haya seleccionado. También puede controlar esta característica con la configuración de directiva de grupos.

Si se inicia una sesión como un usuario estándar, que no es miembro del grupo local de administradores, también es posible ejecutar la mayoría de las aplicaciones de Windows Vista sin derechos adicionales. Aunque podría haber algunas excepciones, la mayoría de las aplicaciones se ejecutarán bien ya sea con la cuenta de administrador o con una cuenta de usuario estándar.

Para los casos en los que sí se necesitan privilegios de administrador, no es necesario hacer clic en Ejecutar como ya que Windows Vista se lo pedirá automáticamente, como se muestra en la Figura 1.


Figura 1: Windows Vista pide automáticamente las credenciales de administrador cuando sean necesarias.

Algunas aplicaciones no se ejecutan en Windows XP sin privilegios de administrador, dado que intentan realizar cambios en ubicaciones de archivo y del Registro que afectan a todo el equipo, como C:\Archivos de programa, C:\Windows o HKEY_LOCAL_MACHINE. Virtualización del Registro y de archivos de Windows Vista redirecciona los datos que se escriben en archivos y en el Registro por equipo a ubicaciones por usuario, si el usuario no cuenta con privilegios de administrador. Esto permite que las cuentas estándar ejecuten aplicaciones que necesiten escribir en áreas del sistema de archivos o de archivos a las que sólo pueden acceder los administradores.

Beneficios

La Protección de cuentas de usuario permite a las organizaciones tener un escritorio mejor administrado, con costos de soporte técnico potencialmente más bajos. Ayuda a las organizaciones a reducir su necesidad de crear una nueva imagen de los equipos debido a los cambios de configuración de los usuarios y disminuye el riesgo de que el código dañino afecte a todo el sistema.

Para comprender los beneficios de la Protección de cuentas de usuario, imagine un usuario promedio que realiza un viaje de negocios y utiliza una cuenta de usuario estándar, pero desconoce la contraseña de administrador local. Para pasar el tiempo en la habitación del hotel, trata de descargar un juego de Internet. Sin embargo, el juego es un caballo de Troya e intenta instalar código dañino que se inicie automáticamente al iniciar el equipo. Dado que el usuario no es administrador, el juego no podrá instalarse y el equipo del usuario estará protegido del caballo de Troya. Posteriormente, para imprimir un documento en la impresora del hotel, el usuario necesita instalar un nuevo controlador. Para asegurarse de que el controlador no lo está agregando software malintencionado, Windows Vista pide al usuario que confirme si realmente desea instalar el controlador. De esta forma, la Protección de cuentas de usuario protege a los usuarios sin limitar las acciones que pueden llevar a cabo.

Por qué es importante

Con Microsoft Windows XP y las versiones anteriores del sistema operativo Windows, los profesionales de TI tenían dos opciones:

  • Otorgar a los usuarios privilegios de administrador y tener que atender a las llamadas solicitando soporte técnico por instalaciones de software o cambios de configuración incorrectos.
  • Otorgar a los usuarios privilegios restringidos y tener que atender a las llamadas solicitando soporte técnico cuando las aplicaciones no funcionan correctamente.

Con Windows Vista, no es necesario buscar un punto de compromiso. Los usuarios pueden trabajar y estar protegidos de código dañino que podría abusar de los privilegios de administrador y también pueden ejecutar prácticamente cualquier aplicación. Cuando los usuarios necesitan realizar tareas administrativas, Windows Vista confirma sus solicitudes. En última instancia, esto significa menos llamadas por soporte técnico y menos tiempo de ingeniería dedicado a configurar aplicaciones para que se ejecuten con privilegios restrictivos.

Principio de la páginaPrincipio de la página

Autenticación

Descripción de características

Windows Vista también admite la autenticación integrada para contraseñas y tarjetas inteligentes. Dado que muchos clientes buscan alternativas a las contraseñas para la autenticación, con Windows Vista es más sencillo para los desarrolladores agregar sus propios métodos de autenticación en Windows, como lecturas biométricas y símbolos o tokens. Windows Vista también proporciona mejoras al protocolo de autenticación Kerberos y a los inicios de sesión con tarjetas inteligentes. Las herramientas de distribución y administración, como las herramientas personalizadas de restablecimiento de número de identificación personal (NIP), facilitan la administración de tarjetas inteligentes. Un modelo común de interfaz de programación de aplicaciones (API) para desarrolladores de tarjetas inteligentes también hace que resulte más fácil desarrollar herramientas.

Beneficios

Las mejoras en las tarjetas inteligentes de Windows Vista facilita a las empresas la tarea de implementar y admitir este método de autenticación integrada. Windows Vista beneficia directamente a los desarrolladores que ofrecen mecanismos de autenticación personalizados, como lecturas biométricas y símbolos o tokens, ya que facilita la implementación del mecanismo de autenticación. Esto beneficia a los departamentos de TI de forma indirecta debido a que les brinda más opciones de otros proveedores.

Por qué es importante

Para muchas organizaciones, la autenticación de factor único no es suficiente. Las organizaciones de TI que otorgan un gran valor a la seguridad necesitan autenticación de factores múltiples. Al facilitar a los desarrolladores la creación de métodos personalizados de autenticación, los departamentos de TI tendrán más opciones de lecturas biométricas, tarjetas inteligentes y de otros tipos de autenticación segura.

Principio de la páginaPrincipio de la página

Protección contra código dañino

Descripción de características

La protección de cuentas de usuario, que se trató previamente en este documento, y las mejoras de seguridad en Internet Explorer (incluso el nuevo modo protegido, que se tratará más adelante) pueden reducir el impacto de infecciones de que causa el código dañino en Windows Vista. Además de estas características, Windows Vista puede limpiar diversos gusanos, virus y rootkit, y de esa forma proteger la integridad del sistema operativo y la privacidad de los datos de los usuarios. También puede detectar, limpiar y bloquear spyware en tiempo real.

 Nota  La detección, la limpieza y el bloqueo de spyware en tiempo real integrados están destinados principalmente a los usuarios individuales. El plan actual sólo incluye administración para empresas contra código dañino mediante una directiva de grupos que permite habilitar y deshabilitar la protección.

Beneficios

El código dañino generalmente se ejecuta en segundo plano en los equipos de los usuarios, lo que reduce el rendimiento de los sistemas. Esto generalmente lleva a los usuarios a pensar, de forma prematura, que sus equipos son demasiado lentos y que deben renovarse, lo que aumenta los costos de mantenimiento de los equipos. O lo que es peor, por lo general, el código dañino tiene errores y puede hacer que un equipo no sea confiable.

Sin embargo, la mayor amenaza del código dañino es hacia la seguridad. El código dañino puede introducir vulnerabilidades de seguridad adicionales en un equipo. Si un atacante aprovecha estas vulnerabilidades, podría tener acceso a datos confidenciales. Por lo tanto, la protección extra contra código dañino de Windows Vista mejora el rendimiento en conjunto de los equipos de la red, reduce la cantidad de llamadas por soporte técnico y mejora la seguridad.

Por qué es importante

Los departamentos de TI malgastan muchos de sus recursos para resolver los problemas que causa el código dañino: rendimiento lento de los equipos, baja confiabilidad y amenazas de seguridad. Las características integradas contra el código dañino de Windows Vista proporcionan a los usuarios mayor control sobre el software que se instala y se ejecuta en sus equipos. Los usuarios avanzados pueden ver el estado del software contra código dañino en el Centro de seguridad.

Principio de la páginaPrincipio de la página

Protección de acceso a la red

Descripción de características

Windows Vista incluye un agente que puede impedir que un cliente se conecte a su red interna si carece de las últimas actualizaciones de seguridad o firmas de virus, o si no cumple con los criterios de seguridad. La protección de acceso a la red se puede utilizar para proteger los clientes de acceso remoto y las conexiones de red de área local (LAN). El agente informa sobre el estado de mantenimiento del cliente de Windows Vista, incluso si cuenta con las últimas actualizaciones y si las últimas firmas de virus están instaladas, al servicio de cumplimiento de protección de acceso a la red basada en servidor, que determina si se le permite al cliente, o no, tener acceso a la red interna o si se le restringe a una red protegida. La funcionalidad del cliente depende de la infraestructura de Protección de acceso a la red, que se incluirá con Windows Server "Longhorn".

Beneficios

La Protección de acceso a la red puede mejorar la seguridad de los equipos portátiles y de sus redes internas. Generalmente, los usuarios que viajan con sus equipos no pueden conectarse a su red interna durante semanas. Cuando se conectan, es posible que las conexiones sean tan breves que los equipos no tienen tiempo de descargar las últimas actualizaciones, configuraciones de seguridad y firmas de virus. Por lo tanto, los equipos portátiles suelen ser menos seguros que otros equipos. La protección de acceso a la red mejora la seguridad de los equipos portátiles garantizando que las últimas actualizaciones se encuentren instaladas antes de que los usuarios se conecten a la red.

Por qué es importante

Los virus y los gusanos generalmente se introducen en una red interna protegida cuando se conectan a ella clientes remotos o equipos infectados. La Protección de acceso a la red de Windows Vista, cuando se utilice con el próximo Windows Vista Server, le permitirá configurar requisitos para el estado de mantenimiento de clientes de acceso remoto. Si un equipo cliente no cumple con los requisitos de mantenimiento, puede:

  • Evitar que el equipo se conecte a la red interna y disemine un virus o gusano.
  • Brindar instrucciones a los usuarios sobre cómo actualizar los equipos, o actualizar los equipos de forma automática si las tecnologías de prevención correspondientes están disponibles.
  • Otorgar acceso a un número limitado de servidores de la red para permitir que los usuarios descarguen actualizaciones.

Principio de la páginaPrincipio de la página

Servidor de seguridad

Descripción de características

El servidor de seguridad personal integrado en Windows Vista mejora la funcionalidad que se incluye con Microsoft Windows XP Service Pack 2. También incluye un filtro de salida preparado para aplicaciones, lo que brinda control direccional completo sobre el tráfico. Por ejemplo, el servidor de seguridad de Windows en Windows Vista permitirá a los administradores bloquear aplicaciones (como aplicaciones de igual a igual que permiten compartir archivos o de mensajería instantánea) de forma que no puedan ponerse en contacto con otros equipos ni responder a ellos. Asimismo, los valores del servidor de seguridad de Windows Vista se pueden configurar con objetos de la directiva de grupos para mejorar la facilidad de uso.

Beneficios

Muchas aplicaciones potencialmente riesgosas, como aplicaciones cliente para compartir archivos de igual a igual que pueden transmitir información personal a través de Internet, están diseñadas para evitar los servidores de seguridad que bloquean las conexiones entrantes. El servidor de seguridad de Windows Vista permite que los administradores de las empresas puedan configurar valores de la directiva de grupos para indicar las aplicaciones que se deben permitir o bloquear, lo que les permite a su vez controlar qué aplicaciones pueden comunicarse en la red.

Por qué es importante

Una de las formas más importantes que tienen los departamentos de TI para reducir los riesgos de seguridad es limitar las aplicaciones que tienen acceso a la red. El servidor de seguridad personal integrado de Windows Vista es una parte importante de esta estrategia. Con el servidor de seguridad personal, los administradores pueden permitir que una aplicación se ejecute de forma local en un equipo, pero evitar que se comunique a través de la red. Esto les otorga el control granular que necesitan para reducir los riesgos de seguridad sin que afectar de forma negativa el trabajo del usuario.

Principio de la páginaPrincipio de la página

Endurecimiento de Servicios de Windows

Descripción de características

El Endurecimiento de Servicios de Windows evita que los servicios fundamentales de Windows lleven a cabo actividades anormales en el sistema de archivos, en el Registro, la red o en otros recursos que podrían utilizarse para permitir que el código dañino se instale o que ataque otros equipos. Por ejemplo, se puede restringir al servicio de llamada a procedimiento remoto (RPC) para que no reemplace archivos del sistema o ni modifique el Registro.

Los servicios de Windows representan un gran porcentaje de la superficie de ataque general en Windows — desde la perspectiva de la cantidad de espacio en disco total del código continuo del sistema y el nivel de privilegios del código. De forma predeterminada, Windows Vista limita el número de servicios que se ejecutan y que realizan operaciones. Actualmente, muchos servicios del sistema y de terceros se ejecutan en la cuenta LocalSystem, donde cualquier infracción podría causar daño ilimitado en el equipo local — incluso en el formato del disco, el acceso a los datos de usuarios o la instalación de controladores.

El Endurecimiento de Servicios de Windows reduce el posible daño de un servicio en peligro al introducir nuevos conceptos que utilizan los servicios de Windows:

  • Introducción de un identificador de seguridad por servicio (SID). Habilita la identidad por servicio, que a su vez habilita la partición del control de acceso mediante el modelo existente de control de acceso de Windows que abarca todos los administradores de recursos y objetos que utilizan listas de control de acceso (ACL). Los servicios ahora pueden aplicar listas ACL explícitas a recursos que son privados para el servicio, lo que evita que otros servicios, así también como el usuario, tengan acceso al recurso.
  • Mover servicios desde LocalSystem a una cuenta con menos privilegios, como LocalService o NetworkService. Esto reduce el nivel de privilegios general del servicio, que es similar a los beneficios que derivan de la Protección de cuentas de usuario.
  • Deshacerse de privilegios de Windows innecesarios para cada servicio, por ejemplo, la capacidad de realizar una depuración.
  • Aplicar un símbolo que no pueda escribirse al proceso del servicio. Esto puede utilizarse en los casos en los que el conjunto de objetos en los que escribió el servicio es limitado o se puede configurar. Los intentos de escritura en recursos que no otorgan explícitamente el acceso al servicio SID no se realizarán correctamente.
  • A los servicios se les asigna una directiva de servidor de seguridad de red, lo que impide el acceso a la red fuera de los límites normales del programa del servicio. La directiva del servidor de seguridad está vinculada directamente con el identificador de seguridad por servicio (SID)

Beneficios

El Endurecimiento de Servicios de Windows proporciona un nivel de protección adicional para servicios basados en el principio de seguridad de la "defensa en profundidad". El Endurecimiento de Servicios de Windows no puede impedir que un servicio vulnerable esté en peligro; otros componentes y estrategias de "defensa en profundidad" de Windows Vista como el servidor de seguridad de Windows y la correcta administración de revisiones ayudarán en ese aspecto. En cambio, el Endurecimiento de Servicios de Windows limita el daño que un atacante puede ocasionar en el improbable caso de que logre identificar un servicio vulnerable y aprovecharse de él.

El Endurecimiento de Servicios de Windows también admite el consumo por parte de autores de otros servicios, lo que permite que los autores de aplicaciones obtengan este mismo beneficio de seguridad para su código.

Por qué es importante

El costo de una amenaza de seguridad puede ser muy alto. Los datos confidenciales podrían estar en peligro, los usuarios podrían perder datos y podría sacrificarse la productividad. Es posible que el departamento de TI tenga que pasar varias semanas reparando el daño causado por un peligro grave. El Endurecimiento de Servicios de Windows puede reducir en gran medida el daño que causa un servicio en peligro al evitar que éste modifique configuraciones importantes o que infecte a otros equipos de la red. Con el Endurecimiento de Servicios de Windows, lo que podría haber sido una importante vulnerabilidad de seguridad puede limitarse a un peligro menor.

Principio de la páginaPrincipio de la página

Mejoras a Internet Explorer

Descripción de características

Windows Vista mejorará la iniciativa de Protección de cuentas de usuario para limitar Internet Explorer únicamente a los privilegios necesarios para poder explorar el Web, pero que no son suficientes para modificar los archivos de los usuarios ni la configuración predeterminada. Esta característica única de Windows Vista, conocida como Modo protegido, estará en Beta 2. Como consecuencia, aún si un sitio malintencionado ataca una vulnerabilidad potencial de Internet Explorer, el código del sitio no tendrá los privilegios suficientes como para poder instalar software, copiar archivos a la carpeta Inicio del usuario o secuestrar la configuración de la página de inicio del explorador o del proveedor de búsquedas.

Para ayudar a proteger la información personal de un usuario, Internet Explorer:

  • Resalta la nueva barra de estado de seguridad cuando se visita un sitio protegido por el nivel de socket seguro y permite al usuario comprobar fácilmente la validez del certificado de seguridad de un sitio.
  • Tiene un filtro de "phishing" que ayuda a los usuarios a explorar de forma más segura y les alerta si un sitio Web intenta robar información confidencial. El filtro analiza el contenido del sitio Web buscando características conocidas de las técnicas de "phishing" y utilizando una red global de fuentes de datos para decidir si el sitio Web es de confianza o no. Los datos del filtro se actualizan varias veces por hora, lo que es importante dada la velocidad con la que los sitios de "phishing" pueden aparecer y recopilar potencialmente los datos de un usuario.
  • Borra todos los datos en caché con un solo clic.

Beneficios

Las nuevas características de Internet Explorer ayudan a los usuarios a tener acceso a recursos de Internet a la vez que reducen las amenazas de seguridad. Al reducir el riesgo que presentan los sitios Web malintencionados, ayuda a reducir los potenciales costos de seguridad.

Por qué es importante

Los sitios Web malintencionados pueden poner en peligro los equipos de los usuarios, aunque sólo visiten sitios aparentemente seguros. Las mejoras de Internet Explorer en Windows Vista reducen enormemente el riesgo de que un explorador esté en peligro, lo que a la vez reduce los riesgos de seguridad. Con la combinación de Protección de cuentas de usuario y el nuevo modo protegido de Internet Explorer, no recibirá tantas llamadas por soporte técnico de parte de usuarios que se quejan porque su página de inicio ha cambiado o porque que tienen barras de herramientas no deseadas en Internet Explorer.

Principio de la páginaPrincipio de la página

Protección de datos

Descripción de características

El robo y la pérdida de propiedad intelectual corporativa son temas que preocupan cada vez más a las organizaciones. Windows Vista ha mejorado la compatibilidad de la protección de datos en el nivel del documento, del archivo, del directorio y del equipo. El cliente de Administración de derechos integrado permite a las organizaciones exigir el cumplimiento de las directivas sobre el uso de documentos. El Sistema de archivos cifrados (EFS), que permite el cifrado de archivos y de directorios basado en usuarios, se ha mejorado para permitir el almacenamiento de claves de cifrado en tarjetas inteligentes y, de esa forma, brinda mayor protección de las claves de cifrado. Asimismo, la nueva característica de inicio seguro para empresas mejora la protección de datos en el nivel del equipo. En un equipo con el correspondiente hardware de habilitación, permite el cifrado total del volumen del sistema, incluso de archivos del sistema de Windows y del archivo de hibernación, lo que ayuda a evitar que los datos se vean afectados en caso de pérdida o robo del equipo. A fin de ofrecer una solución fácil de implementar y de administrar, se utiliza un chip v.1.2 de módulo de plataforma de confianza (TPM) para almacenar las claves que cifran y descifran sectores del disco duro de Windows. Se requiere el TPM y una infraestructura de administración empresarial para garantizar que esta característica sea fácil de utilizar para los usuarios finales.

El cifrado total del volumen de Inicio seguro sella la clave de cifrado simétrica en un chip v.1.2 de módulo de plataforma de confianza (TPM). El chip TPM es un componente de hardware disponible en algunos equipos modernos que almacena claves, contraseñas y certificados digitales.

Inicio seguro también almacena medidas de archivos fundamentales del sistema operativo en un chip TPM. Cada vez que se inicia el equipo, Windows Vista comprueba que los archivos del sistema operativo no se hayan modificado en un ataque sin conexión. Un ataque sin conexión es un escenario en el que un atacante inicia el equipo con un sistema operativo alternativo para poder controlarlo. Si los archivos se modificaron, Windows Vista alerta al usuario y no muestra la clave necesaria para tener acceso a Windows. El sistema pasa al modo de recuperación y solicita una clave de recuperación al usuario para permitir el acceso al volumen de inicio.

El modo de recuperación también se utiliza si una unidad de disco se transfiere a otro sistema. El modo de recuperación requiere una clave que se genera al habilitar Inicio seguro, y esa clave es específica de un equipo. Por lo tanto, Inicio seguro está destinado a empresas que tienen una estructura de administración disponible para almacenar las claves de recuperación, como Active Directory. En caso contrario, es posible que se pierdan datos si el equipo presenta errores y su disco se utiliza en otro equipo, sin contar con la clave de recuperación.

Beneficios

Windows XP y las versiones anteriores de Windows son vulnerables frente a los ataques sin conexión que intentan obtener datos de un usuario en caso de pérdida o robo de equipos. A diferencia de los ataques con conexión, que ocurren cuando el sistema operativo se está ejecutando (y por lo tanto, los servidores de seguridad y el software antivirus pueden reducirlos), los ataques sin conexión ocurren cuando el sistema operativo no está funcionando. Los tipos de ataques sin conexión más comunes son:

  • Iniciar un equipo sin conexión con un disco de inicio y restablecer la contraseña del administrador, de forma que el atacante pueda iniciar el sistema operativo y autenticar su identidad.
  • Lograr el acceso al disco duro del equipo directamente con un sistema operativo distinto para omitir los permisos de archivo.

El Inicio seguro se puede utilizar como protección contra estos dos tipos de ataque. Esta protección es particularmente valiosa en lo que respecta a los equipos portátiles, que son más vulnerables a los robos.

Por qué es importante

Los equipos perdidos o robados contienen, por lo general, propiedad intelectual confidencial corporativa o información de identificación personal sobre los clientes. Que dichos datos estén en peligro podría provocar que una empresa reciba publicidad no deseada si la noticia del robo se hace pública, que es lo que sucede cuando una empresa comunica a sus clientes que se ha perdido su información personal Esto puede acarrear la pérdida de confianza de los clientes y la divulgación de artículos negativos en los medios de comunicación.

Con el cifrado total del volumen de Windows Vista, puede reducir en gran medida el riesgo de que un atacante ponga en peligro archivos confidenciales mediante ataques sin conexión. Esto brinda seguridad de que, ante la pérdida o robo de un equipo portátil, el atacante no podrá tener acceso a los datos confidenciales de la empresa o del cliente que se encuentren en el equipo.

 Nota  Las características tratadas en este sitio están sujetas a modificaciones. Es posible que algunas de ellas no se incluyan en el producto final por razones técnicas, de marketing u otras.

Principio de la páginaPrincipio de la página