[13/07/2021] A pesar de la exageración y el crujir de dientes sobre sus requisitos de hardware, Windows 11 cambia fundamentalmente la forma en que Microsoft aborda la seguridad tanto del consumidor como de la empresa. Aunque el proceso de actualización desde Windows 10 será menor y se parecerá más a un lanzamiento de características de Windows 10, los requisitos de hardware trazan líneas en la arena para que Windows sea más seguro. La decisión de pasar a Windows 11 será diferente para cada organización. Puede ser una persona que tome una decisión difícil, una evolución natural de la seguridad de Windows, o un poco prematura para los ecosistemas que no están preparados para los mandatos.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Al mismo tiempo, Microsoft da un paso atrás con respecto a su sistema operativo posiblemente más seguro, Windows S, que obliga a los usuarios a obtener software a través de la vetada Microsoft Store. Windows 11 Enterprise dejará de admitir este método, que solo se permitirá en las versiones de consumo. Parece que Microsoft se ha dado cuenta de lo que hace tiempo pensaba: El ecosistema de Windows no está preparado para el proceso de listas blancas de aplicaciones del modo S de Windows, aunque en última instancia es donde tenemos que estar. Más bien, Microsoft se está centrando en las características y mandatos de seguridad que garantizarán un ecosistema seguro, como ellos lo llaman, desde el silicio hasta la nube.
[Guía de Windows 11: Noticias, consejos, reseñas y más]
Por qué el hardware es importante para la seguridad de Windows 11
Los equipos de núcleo seguro de Windows son la base de los requisitos de Windows 11, pero no son nuevos. Comienza con un módulo de plataforma de confianza (TPM) 2.0 obligatorio que garantiza una raíz de confianza de hardware, un arranque seguro y el cifrado de unidades BitLocker. El siguiente mandato es la seguridad basada en la virtualización (VBS) habilitada en la placa base. Esto garantiza que el sistema informático pueda aprovechar las capacidades de virtualización, así como permitir que el hipervisor proporcione protección adicional a los sistemas críticos. Este aislamiento permite separar los navegadores de los procesos de Office y otras funciones de la máquina.
El procesador se define como "secure-core", lo que permite al sistema proporcionar protección frente a ataques de firmware. Estos mandatos exigen un mayor nivel de rendimiento del sistema. Microsoft establece que los procesadores deben ser de Generación 8 o superior, pero podrían rebajarlo a ciertos procesadores de Generación 7 si el rendimiento no se ve afectado.
TPM 2.0 o superior y VBS activado por defecto permiten a Microsoft exigir una "raíz de confianza de hardware". VBS crea y aísla una región de memoria segura del sistema operativo normal. Requiere un procesador de 64 bits. El procesador también debe soportar la traducción de direcciones de segundo nivel (SLAT), ya sea Intel VT-X2 con Extended Page Tables (EPT), o AMD-v con Rapid Virtualization Indexing (RVI). Los ataques de escalada de privilegios se intentan todos los días. De hecho, la reciente vulnerabilidad PrintNightmare en el código de Windows Print Spooler, que permitió a los atacantes obtener derechos en un controlador de dominio, es uno de esos ataques de privilegio que la raíz de confianza de hardware debería prevenir.
El aislamiento ayuda a mitigar las amenazas comunes
El VBS desarrollado por Microsoft y el Hypervisor-Protected Code Integrity (HVCI), comúnmente conocido como integridad de la memoria, proporcionan una mejor protección contra el malware común y sofisticado al realizar operaciones de seguridad sensibles en un entorno aislado. HVCI puede mitigar el ransomware como Trickbot que despliega los controladores del kernel. El impacto de HVCI ya se puede ver en las computadoras Surface que se comercializan con esta función.
Secure Boot protege el firmware
A continuación, Microsoft quiere imponer el arranque seguro por defecto para garantizar que el firmware no ha sido manipulado desde la fabricación de la computadora. Cuando el sistema arranca, System Guard comprueba que se mantiene la integridad del dispositivo. Si el sistema carece de integridad, un sistema de gestión como Intune o Microsoft Endpoint Configuration Manager puede tomar medidas, e incluso denegar el acceso del dispositivo a la red.
Mejora de la gestión de identidades y del control de acceso
Microsoft tiene previsto obligar a que las instalaciones de la versión Windows 10 Home utilicen una cuenta de Microsoft al iniciar sesión en el sistema operativo. Además, habrá mejoras en el proceso de onboarding al iniciar el equipo para conectarse a plataformas de dos factores. Parece que están incluyendo más marco para incluir proveedores de inicio de sesión federados como ADFS, Okta y Ping. Los requisitos previos de Credential Guard BIOS (incluyendo VBS) garantizan que las identidades y los secretos estén protegidos de las amenazas externas.
Más opciones de inicio de sesión.
La virtualización habilita las funciones de seguridad
Se pueden habilitar varias funciones cuando un equipo admite la seguridad de la virtualización. Por ejemplo, Windows Subsystem for Linux 2 permite ejecutar un núcleo Linux dentro de una máquina virtual de utilidad ligera. Es más rápido que WSLv1 y permite realizar llamadas completas al sistema. Windows Defender Application Guard (WDAG) ahora podrá ejecutarse por defecto, ya que VS está activado por defecto. Para incluir todas las características defensivas de WDAG será necesario licenciar adecuadamente Windows y Office. Por ejemplo, para habilitar completamente Application Guard para Office, necesitará una licencia de Microsoft 365 E5 o Microsoft 365 E5 Security. Cuando abra un archivo no fiable de Internet, Application Guard for Office abrirá el archivo en un espacio aislado. Podrá abrirlo una vez que el archivo haya sido completamente analizado y evaluado.
Una contrapartida: cuando la seguridad de la virtualización está activada por defecto, afecta al rendimiento, provocando el viejo problema de equilibrar seguridad y usabilidad.
Windows Sandbox tampoco es una característica nueva, sino que será obligatoria en Windows 11. Se basa en las tecnologías utilizadas en los contenedores de Windows para permitirle abrir archivos y sitios web aislados de su máquina. Esto garantiza que puedas abrir de forma segura un archivo o enlace potencialmente dañino dentro de la sandbox sin afectar a tu máquina. Una vez que se cierra, la máquina virtual se apaga y todos los artefactos se eliminan en el proceso.
Windows Sandbox.
Windows 11 también proporcionará soporte para el software de virtualización de terceros y permitirá a los desarrolladores y scripters construir rápidamente herramientas personalizadas, utilidades y mejoras para la plataforma de virtualización. Estas mejoras están inspiradas en las mejoras de Azure. Los ataques de ransomware han utilizado las vulnerabilidades de los controladores para lanzar RobbinHood, Uroburos, Derusbi, GrayFish y Sauron. También lo han hecho las campañas del actor de la amenaza Strontium para obtener privilegios en el kernel, y desactivar los programas de seguridad en las máquinas comprometidas.
Protección contra amenazas de código no verificado
La generación de código arbitrario (ACG), la protección del flujo de control (CFG) y la protección de la integridad del código (CIG) pueden evitar que los sistemas ejecuten código no verificado. El estudio de caso de Microsoft sobre computadoras de núcleo seguro señala las características que eran opcionales con Windows 10 y obligatorias en Windows 11. Las computadoras con núcleo seguro tienen activada por defecto la protección de datos del kernel (KDP).
Lo que Windows 11 pone sobre la mesa no son necesariamente nuevas características de seguridad. Se trata más bien de trazar una línea en la arena para reforzar las funciones que Microsoft ha estado introduciendo en el mercado durante el último año. Los administradores de seguridad tendrán que decidir cuándo unirse a ese viaje para proteger mejor las redes.
Basado en el artículo de Susan Bradley (CSO) y editado por CIO Perú