Seguridad del sistema operativo de Windows
La seguridad y la privacidad dependen de un sistema operativo que protege el sistema y la información desde el momento en que se inicia, lo que proporciona protección fundamental de chip a nube. Windows 11 es el Windows más seguro a la fecha, con amplias medidas de seguridad diseñadas para ayudarle a mantenerse a salvo. Estas medidas incluyen cifrado avanzado y protección de datos integrados, seguridad sólida de la red y del sistema, y medidas de seguridad inteligentes frente a amenazas en constante evolución.
Mira el vídeo de seguridad más reciente de Microsoft Mechanics para Windows 11 que muestra algunas de las últimas tecnologías de seguridad de Windows 11.
Use los vínculos de las secciones siguientes para obtener más información sobre las características y funcionalidades de seguridad del sistema operativo en Windows.
Seguridad del sistema
| Nombre de la característica | Descripción |
|---|---|
| Arranque seguro y arranque de confianza | El arranque seguro y el arranque de confianza ayudan a evitar que el malware y los componentes dañados se carguen cuando se inicia un dispositivo. El arranque seguro se inicia con la protección de arranque inicial y, a continuación, el arranque de confianza recoge el proceso. Juntos, el arranque seguro y el arranque de confianza ayudan a garantizar que el sistema arranque de forma segura. |
| Arranque medido | Arranque medido mide todas las opciones de configuración y código importantes durante el arranque de Windows. Esto incluye: el firmware, el administrador de arranque, el hipervisor, el kernel, el kernel seguro y el sistema operativo. Arranque medido almacena las medidas en el TPM en la máquina y las pone a disposición en un registro que se puede probar de forma remota para comprobar el estado de arranque del cliente. La característica De arranque medido proporciona software antimalware con un registro de confianza (resistente a la suplantación y la alteración) de todos los componentes de arranque que se iniciaron antes. El software antimalware puede usar el registro para determinar si los componentes que se ejecutaron antes son de confianza o si están infectados con malware. El software antimalware del equipo local puede enviar el registro a un servidor remoto para su evaluación. El servidor remoto puede iniciar acciones de corrección, ya sea interactuando con el software en el cliente o a través de mecanismos fuera de banda, según corresponda. |
| Servicio de atestación de estado del dispositivo | El proceso de atestación de estado del dispositivo Windows admite un paradigma de confianza cero que cambia el foco de perímetros estáticos basados en la red a usuarios, recursos y recursos. El proceso de atestación confirma que el dispositivo, el firmware y el proceso de arranque están en un buen estado y no se han alterado antes de que puedan acceder a los recursos corporativos. Las determinaciones se realizan con los datos almacenados en el TPM, que proporciona una raíz segura de confianza. La información se envía a un servicio de atestación, como Azure Attestation, para comprobar que el dispositivo se encuentra en un estado de confianza. A continuación, una herramienta MDM como Microsoft Intune revisa el estado del dispositivo y conecta esta información con Microsoft Entra ID para el acceso condicional. |
| Configuración y auditoría de directivas de seguridad de Windows | Microsoft proporciona un sólido conjunto de directivas de configuración de seguridad que los administradores de TI pueden usar para proteger los dispositivos Windows y otros recursos de su organización. |
| Acceso asignado | Algunos dispositivos de escritorio de una empresa tienen un propósito especial. Por ejemplo, un equipo en la sala de espera que los clientes usan para ver el catálogo de productos. O bien, un equipo que muestra contenido visual como una señal digital. El cliente de Windows ofrece dos experiencias de bloqueo diferentes para uso público o especializado: un quiosco de una sola aplicación que ejecuta una sola aplicación de Plataforma universal de Windows (UWP) en pantalla completa encima de la pantalla de bloqueo o un quiosco de varias aplicaciones que ejecuta una o varias aplicaciones desde el escritorio. Las configuraciones de quiosco multimedia se basan en acceso asignado, una característica de Windows que permite a un administrador administrar la experiencia del usuario limitando los puntos de entrada de la aplicación expuestos al usuario. |
Protección contra virus y amenazas
| Nombre de la característica | Descripción |
|---|---|
| Antivirus de Microsoft Defender | Antivirus de Microsoft Defender es una solución de protección incluida en todas las versiones de Windows. Desde el momento en que arranca Windows, Antivirus de Microsoft Defender supervisa continuamente el malware, los virus y las amenazas de seguridad. Las actualizaciones se descargan automáticamente para ayudar a proteger el dispositivo frente a amenazas. Antivirus de Microsoft Defender incluye protección antivirus en tiempo real, basada en comportamiento y heurística. La combinación de análisis de contenido siempre activado, supervisión del comportamiento de archivos y procesos y otras heurísticas evita de forma eficaz las amenazas de seguridad. Microsoft Defender Antivirus examina continuamente el malware y las amenazas, y también detecta y bloquea las aplicaciones potencialmente no deseadas (PUA), que son aplicaciones que se consideran que afectan negativamente al dispositivo, pero que no se consideran malware. |
| Protección de autoridad de seguridad local (LSA) | Windows tiene varios procesos críticos para comprobar la identidad de un usuario. Entre los procesos de comprobación se incluye la autoridad de seguridad local (LSA), que es responsable de autenticar a los usuarios y comprobar los inicios de sesión de Windows. LSA controla los tokens y las credenciales, como las contraseñas que se usan para el inicio de sesión único en una cuenta de Microsoft y los servicios de Azure. Para ayudar a proteger estas credenciales, la protección LSA adicional solo permite cargar código firmado de confianza y proporciona una protección significativa contra el robo de credenciales. La protección LSA está habilitada de forma predeterminada en dispositivos Windows 11 nuevos unidos a la empresa con compatibilidad agregada con controles de bloqueo y administración de directivas que no son UEFI a través de MDM y directivas de grupo. |
| Reducción de la superficie expuesta a ataques (ASR) | Las reglas de reducción de la superficie expuesta a ataques (ASR) ayudan a evitar comportamientos de software que a menudo se usan para poner en peligro el dispositivo o la red. Al reducir el número de superficies expuestas a ataques, puede reducir la vulnerabilidad general de su organización. Los administradores pueden configurar reglas de ASR específicas para ayudar a bloquear ciertos comportamientos, como iniciar archivos ejecutables y scripts que intentan descargar o ejecutar archivos, ejecutar scripts ofuscados o sospechosos, y realizar comportamientos que las aplicaciones no suelen iniciar durante el trabajo diario normal. |
| Configuración de protección contra alteraciones para MDE | La protección contra alteraciones es una funcionalidad de Microsoft Defender para punto de conexión que ayuda a proteger determinadas configuraciones de seguridad, como la protección contra virus y amenazas, de que se deshabiliten o cambien. Durante algunos tipos de ciberataques, los actores malintencionados intentan deshabilitar las características de seguridad en los dispositivos. Deshabilitar las características de seguridad proporciona a los actores incorrectos un acceso más fácil a los datos, la capacidad de instalar malware y la capacidad de aprovechar los datos, la identidad y los dispositivos. La protección contra alteraciones ayuda a protegerse contra estos tipos de actividades. |
| Acceso controlado a carpetas | Puede proteger su información valiosa en carpetas específicas administrando el acceso de la aplicación a carpetas específicas. Solo las aplicaciones de confianza pueden acceder a carpetas protegidas, que se especifican cuando se configura acceso controlado a carpetas. Las carpetas usadas habitualmente, como las usadas para documentos, imágenes y descargas, suelen incluirse en la lista de carpetas controladas. El acceso controlado a carpetas funciona con una lista de aplicaciones de confianza. Las aplicaciones que se incluyen en la lista de software de confianza funcionan según lo previsto. Se impide que las aplicaciones que no se incluyen en la lista de confianza realicen cambios en los archivos dentro de carpetas protegidas. Acceso controlado a carpetas te ayuda a proteger los datos importantes del usuario de las aplicaciones malintencionadas y amenazas, como ransomware. |
| Protección contra vulnerabilidades | La protección contra vulnerabilidades aplica automáticamente muchas técnicas de mitigación de vulnerabilidades a los procesos y aplicaciones del sistema operativo. La protección contra vulnerabilidades funciona mejor con Microsoft Defender para punto de conexión, que ofrece a las organizaciones informes detallados sobre los eventos y bloqueos de protección contra vulnerabilidades como parte de los escenarios típicos de investigación de alertas. Puede activar la protección contra vulnerabilidades en un dispositivo individual y, a continuación, utilizar MDM o la política de grupo para distribuir el archivo de configuración a varios dispositivos. Cuando se encuentra una mitigación en el equipo, se mostrará una notificación del Centro de actividades. Puede personalizar la notificación con los detalles y la información de contacto de su empresa. También puede habilitar las reglas de forma individual y así personalizar las técnicas que monitoriza la función. |
| SmartScreen de Microsoft Defender | SmartScreen de Microsoft Defender protege frente a malware de sitios web y aplicaciones de suplantación de identidad, y la descarga de archivos potencialmente maliciosos. Para mejorar la protección contra suplantación de identidad (phishing), SmartScreen también alerta a las personas cuando escriben sus credenciales en una ubicación potencialmente de riesgo. Ti puede personalizar qué notificaciones aparecen a través de MDM o una directiva de grupo. La protección se ejecuta en modo auditoría de forma predeterminada, lo que proporciona a los administradores de TI control total para tomar decisiones sobre la creación y aplicación de directivas. |
| Microsoft Defender para punto de conexión | Microsoft Defender para punto de conexión es una solución de detección y respuesta de puntos de conexión empresariales que ayuda a los equipos de seguridad a detectar, investigar y responder a amenazas avanzadas. Las organizaciones pueden usar los datos de eventos enriquecidos y la información sobre ataques que Defender para punto de conexión proporciona para investigar incidentes. Defender para punto de conexión reúne los siguientes elementos para proporcionar una imagen más completa de los incidentes de seguridad: sensores de comportamiento de puntos de conexión, análisis de seguridad en la nube, inteligencia sobre amenazas y funcionalidades de respuesta enriquecidas. |
Seguridad de red
| Nombre de la característica | Descripción |
|---|---|
| Seguridad de la capa de transporte (TLS) | Seguridad de la capa de transporte (TLS) es un protocolo criptográfico diseñado para proporcionar seguridad de comunicaciones a través de una red. TLS 1.3 es la versión más reciente del protocolo y está habilitado de forma predeterminada en Windows 11. Esta versión elimina los algoritmos criptográficos obsoletos, mejora la seguridad con respecto a las versiones anteriores y pretende cifrar la mayor parte posible del protocolo de enlace TLS. El protocolo de enlace es más eficaz con un recorrido de ida y vuelta menos de media por conexión y solo admite cinco conjuntos de cifrado seguros que proporcionan un secreto directo perfecto y menos riesgo operativo. |
| Seguridad del sistema de nombres de dominio (DNS) | A partir de Windows 11, el cliente DNS de Windows admite DNS a través de HTTPS (DoH), un protocolo DNS cifrado. Esto permite a los administradores asegurarse de que sus dispositivos protegen las consultas DNS de los atacantes en la ruta de acceso, ya sean observadores pasivos que registren el comportamiento de exploración o atacantes activos que intenten redirigir clientes a sitios malintencionados. En un modelo de confianza cero en el que no hay confianza en un límite de red, es necesario tener una conexión segura a un solucionador de nombres de confianza. |
| Emparejamiento y protección de conexión Bluetooth | El número de dispositivos Bluetooth conectados a Windows sigue aumentando. Windows admite todos los protocolos de emparejamiento Bluetooth estándar, incluidas las conexiones clásicas y seguras de LE, el emparejamiento simple seguro y el emparejamiento clásico y heredado de LE. Windows también implementa la privacidad de LE basada en host. Las actualizaciones de Windows ayudan a los usuarios a mantenerse al día con las características de seguridad del sistema operativo y del controlador de acuerdo con el Grupo de interés especial (SIG) de Bluetooth, los informes de vulnerabilidades estándar y los problemas más allá de los requeridos por los estándares principales del sector de Bluetooth. Microsoft recomienda encarecidamente que los usuarios se aseguren de que su firmware o software de sus accesorios Bluetooth se mantengan actualizados. |
| Seguridad de WiFi | Wi-Fi Acceso protegido (WPA) es un programa de certificación de seguridad diseñado para proteger las redes inalámbricas. WPA3 es la versión más reciente de la certificación y proporciona un método de conexión más seguro y confiable en comparación con WPA2 y los protocolos de seguridad anteriores. Windows admite tres modos WPA3: WPA3 personal con el protocolo Hash-to-Element (H2E), WPA3 Enterprise y WPA3 Enterprise Suite B de 192 bits. Windows 11 también admite WPA3 Enterprise definida por WFA que incluye la validación mejorada de certificados de servidor y TLS 1.3 para la autenticación mediante la autenticación EAP-TLS. |
| Cifrado inalámbrico oportunista (MISO) | El cifrado inalámbrico oportunista (IST) es una tecnología que permite a los dispositivos inalámbricos establecer conexiones cifradas a zonas Wi-Fi públicas. |
| Firewall de Windows | Firewall de Windows proporciona filtrado de tráfico de red bidireccional basado en host, lo que bloquea el tráfico no autorizado que entra o sale del dispositivo local en función de los tipos de redes a las que está conectado el dispositivo. Firewall de Windows reduce la superficie expuesta a ataques de un dispositivo con reglas para restringir o permitir el tráfico en muchas propiedades, como direcciones IP, puertos o rutas de acceso de programa. La reducción de la superficie expuesta a ataques de un dispositivo aumenta la capacidad de administración y reduce la probabilidad de un ataque correcto. Con su integración con el protocolo de seguridad de Internet (IPsec), Firewall de Windows proporciona una manera sencilla de aplicar las comunicaciones de red autenticadas de un extremo a otro. Proporciona acceso escalable y en capas a los recursos de red de confianza, lo que ayuda a aplicar la integridad de los datos y, opcionalmente, ayuda a proteger la confidencialidad de los datos. Firewall de Windows es un firewall basado en host que se incluye con el sistema operativo, no se requiere hardware ni software adicionales. Firewall de Windows también está diseñado para complementar las soluciones de seguridad de red existentes que no son de Microsoft a través de una interfaz de programación de aplicaciones (API) documentada. |
| Red privada virtual (VPN) | La plataforma de cliente VPN de Windows incluye protocolos VPN integrados, compatibilidad con la configuración, una interfaz de usuario de VPN común y compatibilidad con programación para protocolos VPN personalizados. Las aplicaciones VPN están disponibles en la Microsoft Store para VPN empresariales y de consumidor, incluidas las aplicaciones para las puertas de enlace de VPN empresariales más populares. En Windows 11, los controles de VPN más usados se integran directamente en el panel Acciones rápidas. En el panel Acciones rápidas, los usuarios pueden ver el estado de su VPN, iniciar y detener los túneles VPN y acceder a la aplicación Configuración para obtener más controles. |
| VPN de Always On (túnel de dispositivo) | Con Always On VPN, puede crear un perfil de VPN dedicado para el dispositivo. A diferencia de User Tunnel, que solo se conecta después de que un usuario inicie sesión en el dispositivo, Device Tunnel permite que la VPN establezca conectividad antes de que un usuario inicie sesión. Tanto Device Tunnel como User Tunnel funcionan de forma independiente con sus perfiles de VPN, se pueden conectar al mismo tiempo y pueden usar diferentes métodos de autenticación y otras opciones de configuración de VPN según corresponda. |
| Acceso directo | DirectAccess permite la conectividad de los usuarios remotos a los recursos de red de la organización sin necesidad de conexiones de red privada virtual (VPN) tradicionales. Con las conexiones de DirectAccess, los dispositivos remotos siempre están conectados a la organización y no es necesario que los usuarios remotos inicien y detengan las conexiones. |
| Servicio de archivos del bloque de mensajes del servidor (SMB) | El cifrado SMB proporciona cifrado de un extremo a otro de los datos SMB y protege los datos de interceptaciones en redes internas. En Windows 11, el protocolo SMB tiene actualizaciones de seguridad significativas, como el cifrado AES-256 bits, la firma SMB acelerada, el cifrado de red de Acceso a memoria de directorio remoto (RDMA) y SMB a través de QUIC para redes que no son de confianza. Windows 11 presenta los conjuntos criptográficos AES-256-GCM y AES-256-CCM para el cifrado SMB 3.1.1. Los administradores de Windows pueden exigir el uso de seguridad más avanzada o seguir usando el cifrado AES-128 más compatible y seguro. |
| Bloque de mensajes del servidor directo (SMB directo) | SMB directo (SMB a través del acceso directo a memoria remota) es un protocolo de almacenamiento que permite transferencias directas de datos de memoria a memoria entre el dispositivo y el almacenamiento, con un uso mínimo de CPU, mientras se usan adaptadores de red compatibles con RDMA estándar. SMB directo admite el cifrado y ahora puede operar con la misma seguridad que el TCP tradicional y el rendimiento de RDMA. Anteriormente, al habilitar el cifrado SMB se deshabilitaba la colocación directa de datos, lo que hacía que RDMA sea tan lento como TCP. Ahora los datos se cifran antes de la selección de ubicación, lo que provoca una degradación del rendimiento relativamente pequeña al agregar privacidad de paquetes protegidos AES-128 y AES-256. |
Protección y cifrado de datos
| Nombre de la característica | Descripción |
|---|---|
| Administración de BitLocker | El CSP de BitLocker permite que una solución MDM, como Microsoft Intune, administre las características de cifrado de BitLocker en dispositivos Windows. Esto incluye volúmenes del sistema operativo, unidades fijas y almacenamiento extraíble y administración de claves de recuperación en Microsoft Entra ID. |
| Habilitación de BitLocker | Cifrado de unidad BitLocker es una característica de protección de datos que se integra en el sistema operativo y soluciona las amenazas de robo o exposición de datos de equipos perdidos, sustraídos o retirados inadecuadamente. BitLocker usa el algoritmo AES en el modo de operación XTS o CBC con una longitud de clave de 128 o 256 bits para cifrar los datos del volumen. El almacenamiento en la nube en Microsoft OneDrive o Azure se puede usar para guardar el contenido de la clave de recuperación. BitLocker se puede administrar mediante cualquier solución MDM, como Microsoft Intune, mediante un proveedor de servicios de configuración (CSP). BitLocker proporciona cifrado para el sistema operativo, los datos fijos y las unidades de datos extraíbles, mediante tecnologías como la interfaz de prueba de seguridad de hardware (HSTI), modo de espera moderno, UEFI arranque seguro y TPM. |
| Unidad de disco duro cifrada | Las unidades de disco duro cifradas son una clase de unidades de disco duro que se cifran automáticamente en el nivel de hardware y permiten el cifrado de hardware de disco completo mientras son transparentes para el usuario del dispositivo. Estas unidades combinan las ventajas de seguridad y administración proporcionadas por Cifrado de unidad BitLocker con la eficacia de las unidades de auto-cifrado. Al descargar las operaciones criptográficas al hardware, las unidades de disco duro cifradas aumentan el rendimiento de BitLocker y reducen el consumo de energía y el uso de CPU. Dado que las unidades de disco duro cifradas cifran los datos rápidamente, la implementación de BitLocker se puede expandir entre dispositivos empresariales con poco o ningún impacto en la productividad. |
| Cifrado de datos personales (PDE) | El cifrado de datos personales (PDE) funciona con BitLocker y Windows Hello para empresas para proteger aún más los documentos de usuario y otros archivos, incluso cuando el dispositivo está encendido y bloqueado. Los archivos se cifran automáticamente y sin problemas para proporcionar a los usuarios más seguridad sin interrumpir su flujo de trabajo. Windows Hello para empresas se usa para proteger el contenedor, que contiene las claves de cifrado usadas por PDE. Cuando el usuario inicia sesión, el contenedor se autentica para liberar las claves del contenedor para descifrar el contenido del usuario. |
| Cifrado de correo electrónico (S/MIME) | El cifrado de correo electrónico permite a los usuarios cifrar los mensajes de correo electrónico salientes y los datos adjuntos, por lo que solo los destinatarios deseados con un identificador digital (certificado) pueden leerlos. Los usuarios pueden firmar digitalmente un mensaje, que comprueba la identidad del remitente y confirma que el mensaje no se ha alterado. Un usuario puede enviar los mensajes cifrados a otros usuarios de su organización o a contactos externos si tienen los certificados de cifrado adecuados. |
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de