Seguridad de hardware de Windows
Obtenga más información sobre la compatibilidad con las características de seguridad de hardware en Windows.
Raíz de confianza de hardware
| Nombre de la característica | Descripción |
|---|---|
| Protección del sistema de Windows Defender | En equipos de núcleo protegido, Windows Defender Protección del sistema Secure Launch protege el arranque con una tecnología conocida como raíz dinámica de confianza para la medición (DRTM). Con DRTM, el sistema sigue inicialmente el proceso de arranque seguro UEFI normal. Sin embargo, antes de iniciarse, el sistema entra en un estado de confianza controlado por hardware que obliga a las CPU a reducir una ruta de acceso de código protegida por hardware. Si un rootkit/bootkit de malware ha omitido el arranque seguro de UEFI y reside en la memoria, DRTM impedirá que acceda a secretos y código crítico protegido por el entorno de seguridad basado en la virtualización. La tecnología de reducción de superficie expuesta a ataques de firmware se puede usar en lugar de DRTM en dispositivos compatibles como Microsoft Surface. |
| Módulo de plataforma segura (TPM) | Los TPMs proporcionan ventajas de seguridad y privacidad para el hardware del sistema, los propietarios de la plataforma y los usuarios. Windows Hello, BitLocker, Windows Defender Protección del sistema y otras características de Windows dependen del TPM para funcionalidades como la generación de claves, el almacenamiento seguro, el cifrado, las medidas de integridad de arranque y la atestación. La versión 2.0 de la especificación incluye compatibilidad con algoritmos más recientes, lo que puede mejorar la firma de controladores y el rendimiento de generación de claves. A partir de Windows 10, la certificación de hardware de Microsoft requiere que todos los nuevos equipos Windows incluyan TPM 2.0 integrado y habilitado de forma predeterminada. Con Windows 11, los dispositivos nuevos y actualizados deben tener TPM 2.0. |
| Microsoft Pluton | Los procesadores de seguridad de Microsoft Pluton están diseñados por Microsoft en asociación con asociados de silicon. Pluton mejora la protección de los dispositivos Windows con una raíz de confianza de hardware que proporciona protección adicional para las claves criptográficas y otros secretos. Pluton está diseñado para reducir la superficie expuesta a ataques, ya que integra el chip de seguridad directamente en el procesador. Se puede usar con un TPM 2.0 discreto o como un procesador de seguridad independiente. Cuando la raíz de confianza se encuentra en un chip independiente y discreto en la placa base, la ruta de comunicación entre la raíz de confianza y la CPU puede ser vulnerable a ataques físicos. Pluton admite el estándar del sector TPM 2.0, lo que permite a los clientes beneficiarse inmediatamente de la seguridad mejorada en las características de Windows que se basan en TPMs, como BitLocker, Windows Hello y Windows Defender Protección del sistema. Además de proporcionar la raíz de confianza, Pluton también admite otras funciones de seguridad más allá de lo que es posible con la especificación tpm 2.0, y esta extensibilidad permite que las características adicionales de firmware y sistema operativo de Plutón se entreguen a lo largo del tiempo a través de Windows Update. Los dispositivos de Windows 11 habilitados para Plutón están disponibles y la selección de opciones con Plutón está creciendo. |
Seguridad asistida por silicio
| Nombre de la característica | Descripción |
|---|---|
| Seguridad basada en virtualización (VBS) | Además de una raíz de confianza de hardware moderna, hay muchas otras funcionalidades en los chips más recientes que protegen el sistema operativo frente a amenazas, como proteger el proceso de arranque, proteger la integridad de la memoria, aislar la lógica de proceso confidencial de seguridad y mucho más. Dos ejemplos incluyen la seguridad basada en virtualización (VBS) y la integridad de código protegida por hipervisor (HVCI). La seguridad basada en virtualización (VBS), también conocida como aislamiento de núcleos, es un bloque de creación crítico en un sistema seguro. VBS usa características de virtualización de hardware para hospedar un kernel seguro separado del sistema operativo. Esto significa que, incluso si el sistema operativo está en peligro, el kernel seguro permanece protegido. A partir de Windows 10, todos los dispositivos nuevos deben enviarse con compatibilidad con firmware para VBS y HCVI habilitados de forma predeterminada en el BIOS. A continuación, los clientes pueden habilitar la compatibilidad con el sistema operativo en Windows. Con las nuevas instalaciones de Windows 11, la compatibilidad del sistema operativo con VBS y HVCI está activada de forma predeterminada para todos los dispositivos que cumplen los requisitos previos. |
| Integridad de código protegida por hipervisor (HVCI) | La integridad de código protegida por hipervisor (HVCI), también denominada integridad de memoria, usa VBS para ejecutar la integridad de código en modo kernel (KMCI) dentro del entorno de VBS seguro en lugar del kernel principal de Windows. Esto ayuda a evitar ataques que intentan modificar el código del modo kernel, como los controladores. El rol KMCI consiste en comprobar que todo el código del kernel está firmado correctamente y no se ha alterado antes de que se pueda ejecutar. HVCI ayuda a garantizar que solo se puede ejecutar código validado en modo kernel. A partir de Windows 10, todos los dispositivos nuevos deben enviarse con compatibilidad con firmware para VBS y HCVI habilitados de forma predeterminada en el BIOS. A continuación, los clientes pueden habilitar la compatibilidad con el sistema operativo en Windows. Con las nuevas instalaciones de Windows 11, la compatibilidad del sistema operativo con VBS y HVCI está activada de forma predeterminada para todos los dispositivos que cumplen los requisitos previos. |
| Protección de pila aplicada por hardware. | La protección de pila aplicada por hardware integra software y hardware para una defensa moderna contra ciberamenazas, como daños en la memoria y vulnerabilidades de seguridad de día cero. En función de la tecnología de cumplimiento de flujo de control (CET) de Intel y AMD Shadow Stacks, la protección de pila aplicada por hardware está diseñada para protegerse frente a técnicas de vulnerabilidades de seguridad que intentan secuestrar las direcciones de retorno de la pila. |
| Protección del acceso directo a memoria (DMA) del kernel | Kernel DMA Protection protege contra periféricos externos de obtener acceso no autorizado a la memoria. Las amenazas físicas, como los ataques de acceso directo a memoria (DMA) por unidad, suelen producirse rápidamente mientras el propietario del sistema no está presente. Los dispositivos pcie hot plug, como Thunderbolt, USB4 y CFexpress, permiten a los usuarios conectar nuevas clases de periféricos externos, incluidas tarjetas gráficas u otros dispositivos PCI, a sus PC con la facilidad plug-and-play de USB. Dado que los puertos de conexión rápida PCI son externos y de fácil acceso, los dispositivos son susceptibles a ataques DMA basados en unidades. |
PC de núcleo protegido
| Nombre de la característica | Descripción |
|---|---|
| Protección del firmware de pc de núcleo seguro | Microsoft ha trabajado con asociados oem para ofrecer una categoría especial de dispositivos denominados PC de núcleo protegido. Los dispositivos se incluyen con medidas de seguridad adicionales habilitadas en la capa de firmware, o en el núcleo del dispositivo, que sustenta Windows. Los equipos de núcleo protegido ayudan a evitar ataques de malware y a minimizar las vulnerabilidades de firmware al iniciarse en un estado limpio y de confianza al iniciarse con una raíz de confianza aplicada por hardware. La seguridad basada en virtualización está habilitada de forma predeterminada. Además, con la memoria del sistema de blindaje de integridad de código protegida por hipervisor (HVCI) integrada, los equipos de núcleo protegido garantizan que todos los ejecutables solo estén firmados por autoridades conocidas y aprobadas. Los equipos de núcleo protegido también protegen frente a amenazas físicas, como ataques de acceso directo a memoria (DMA) de unidad. |
| Bloqueo de configuración de núcleo protegido | El bloqueo de configuración de núcleo protegido es una característica de PC de núcleo protegido (SCPC) que impide que los usuarios realicen cambios no deseados en la configuración de seguridad. Con el bloqueo de configuración, el sistema operativo supervisa las claves del Registro que configuran cada característica y, cuando detecta un desfase, vuelve al estado SCPC deseado por TI en segundos. |
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de