Biblioteca Online : ¡La Suscripción ENI por 9,90 € el primer mes!, con el código PRIMER9. Pulse aquí
¡Acceso ilimitado 24/7 a todos nuestros libros y vídeos! Descubra la Biblioteca Online ENI. Pulse aquí

Configuración de la seguridad de Windows

Protección de los puestos de trabajo con Windows 11

Con la llegada de las interconexiones entre redes privadas y públicas, cada vez más empresas abren sus sistemas de información a sus socios comerciales.

Se hace entonces primordial conocer los recursos críticos y proteger los puestos de trabajo fijos y móviles de los colaboradores de la empresa.

Cuando el administrador desea desplegar una arquitectura segura debe, en primer lugar, conocer las fuerzas en juego, evaluando sus propias competencias, redactar un documento detallado del Sistema de Información (SI) y controlar el soporte organizacional. La segunda etapa consiste en olvidar los estereotipos para ponerse en el lugar del atacante, intentando conocer sus motivaciones: un empleado descontento, espionaje para obtener beneficios financieros, la respuesta a un reto, etc.

El administrador de seguridad debe defender todos los puntos de su SI manteniéndose siempre alerta, ya que el pirata informático puede seleccionar el punto menos fiable y atacar cuando lo desee. Las diferentes redes deben estar controladas y ser seguras: la red local, la red de área extensa y los socios profesionales de tipo extranet, con el fin de protegerse de espionajes de red, de suplantaciones de identidad o modificaciones.

El sistema Windows 11 posee las mismas bases de seguridad que Windows 10, que a su vez las heredó de Windows 7, como el control de acceso de usuarios o el Centro de actividades, pero aporta mejoras en las características AppLocker y BitLocker.

Se han conservado algunas funcionalidades de Windows 10: Credential Guard y Device Guard.

Además, la funcionalidad de WIP (Windows Information Protection) ha remplazado a EDP (Enterprise Data Protection).

Gracias a ellas, el administrador puede crear una directiva de grupo de protección con cuatro niveles:

  • 0 - Desactivada. La funcionalidad WIP no está activa y no protege los datos de la empresa.

  • Audit: WIP registra una compartición de datos no apropiada, pero no prohíbe nada. Se trata de un modo silencioso.

  • Remplazar: el usuario es informado de una compartición inapropiada de los recursos compartidos, pero puede remplazar la directiva aplicada.

  • Bloquear: si se detecta una compartición inapropiada, el empleado verá rechazada su acción.

En todo momento, un empleado puede cambiar el estado de un documento...

Protección de datos fuera de línea

La vigilancia es fundamental para la prevención del robo de discos duros o de medios extraíbles, como llaves USB.

Para paliar esta problemática, Microsoft presenta la tecnología de cifrado de unidades BitLocker, que apareció con el sistema Windows Vista.

1. BitLocker

Incluido en las versiones Enterprise, para Educación y Pro de Windows 11, BitLocker protege todos los datos almacenados en las particiones en modo sin conexión. En efecto, durante el proceso de arranque, el disco duro se desencripta mediante BitLocker, que impide el acceso no autorizado a los datos mientras Windows 11 funciona. Dé prioridad en este caso a EFS para cifrar sus documentos.

BitLocker es también útil en caso de baja definitiva de un disco duro. Cifrándolo completamente, la solución se hace enseguida rentable si la comparamos con el coste de una empresa especializada en la destrucción de discos físicos.

Otra funcionalidad interesante aportada por BitLocker es el control de integridad, que autentica a través de una tarjeta TPM (Trusted Platform Module) el hardware del equipo y los archivos críticos (NTFS boot sector, boot manager, etc.) de Windows 11. De esta forma, en caso de robo de un disco duro cifrado mediante este método, los datos que contiene no serán accesibles en otro ordenador. Un virus tampoco podrá instalarse durante la fase de arranque del sistema operativo.

He aquí una tabla comparativa de las dos tecnologías, BitLocker y EFS:

BitLocker

EFS

Cifrado completo de las particiones

X

Autenticación fuerte (contraseña y memoria flash USB)

X

Método de recuperación (contraseña o Agente)

X

X

Cifrado completo de un dispositivo extraíble

X

Verificación de la integridad del sistema y del hardware

X

Protección de datos una vez arrancado el equipo

X

Cifrado de archivos

X

X

Utilización de un certificado de usuario

X

Garantiza DLP (Data Loss Prevention)

X

X

Soporte de particiones no NTFS para los dispositivos extraíbles

X

Hay que tener en cuenta la disminución de rendimiento al elegir un método de cifrado de dispositivo sin conexión. Al activar BitLocker en un disco duro, su rendimiento de acceso se ve reducido entre un 3 % y un 5 % según Microsoft.

BitLocker necesita los siguientes...

Gestión de las actualizaciones de seguridad

La seguridad de un sistema operativo también depende de la corrección de los bugs que tiene y de la adición de nuevas características. Microsoft publica con regularidad actualizaciones de su sistema operativo estrella. Con Windows 11, la empresa ha anunciado una reducción del tamaño de estas actualizaciones, con una reducción del 40 % de su volumen.

Ahora, las actualizaciones se agrupan según su objetivo:

  • Actualizaciones de características (antes llamadas «puestas a nivel»): contienen revisiones de seguridad y de calidad, pero también añaden nuevas características y realizan modificaciones importantes a algunas funcionalidades. Anteriormente, se publicaban dos veces al año, pero ahora Microsoft hace una actualización de características anual. De hecho, Windows 11 es una actualización de características de Windows 10.

    Actualizaciones de calidad (también llamadas Tuesday Patch): agrupan las actualizaciones de seguridad, críticas y de controladores. Generalmente, se publican el segundo martes de cada mes (también pueden publicarse en cualquier momento si se detecta un fallo de seguridad crítico). De esta forma, los administradores pueden prepararse para la aplicación de los parches, a principios de semana, y así anticipar y corregir los posibles problemas.

    Actualizaciones de controladores: como su nombre indica, estas actualizaciones mejoran los controladores y son específicas de cada equipo.

    Actualizaciones de productos Microsoft: por lo general, son de Office.

Mantener Windows 11 actualizado permite asegurar la estabilidad y la protección del sistema. El servicio Windows Update gestiona la descarga e instalación de las actualizaciones de los productos de Microsoft cuando el usuario está conectado a Internet. En caso de desconexión durante una descarga, se reintentará cuando se restablezca la conexión.

Cuando un usuario está conectado a una red inalámbrica cuyos datos utilizados se facturan, como una red 3G o 4G, Windows 11 difiere la descarga de actualizaciones de seguridad en segundo plano hasta conectarse a una red inalámbrica Wi-Fi, menos costosa.

Sin embargo, si una actualización de seguridad clasificada como crítica está disponible para...

Control de aplicaciones con AppLocker

El control de aplicaciones instaladas y licenciadas en los puestos de una empresa es una cuestión muy importante para todo administrador de sistemas. Frente a este desafío, Microsoft presenta la funcionalidad AppLocker, que restringe la ejecución e instalación de software definido desde un servidor Windows en clientes Windows 8.1 (Enterprise) y Windows 10 y 11. Esto se traduce en una reducción de gastos generales y un mayor control administrativo de los tipos de archivos ejecutables, evitando así la propagación de malware, como los troyanos.

AppLocker combina el inventario y la estandarización de aplicaciones, la protección contra software no autorizado y la conformidad de las licencias.

AppLocker sustituye la funcionalidad de directivas de restricción de software de versiones anteriores de Windows. Por ejemplo, durante la actualización a Windows 10, y luego 11, de un ordenador con Windows 7 que posee una directiva de restricción de software aplicada. Será preciso crear una nueva regla AppLocker para dar soporte al bloqueo de un software.

Existen reglas de restricción disponibles para la ejecución de software, de scripts y para la instalación de programas.

Las siguientes extensiones pueden estar sujetas a restricción con un servidor Windows Server 2012 (o superior) y clientes Windows 11 (Professional o Enterprise) con la funcionalidad AppLocker activada:

  • Archivos ejecutables: .exe, .com.

  • Scripts: .ps1, .bat, .cmd, .vbs, .js.

  • Archivos de instalación: .msi, .msp, .mst.

  • Aplicaciones empaquetadas: .appx.

  • Archivos DLL (Dynamic Link Library): .dll, .ocx.

AppLocker presenta reglas basadas en el fabricante y en la firma digital de sus aplicaciones: por ejemplo, una organización crea...

Device Guard

Device Guard representa un conjunto de funcionalidades vinculadas a la seguridad de hardware y software que, al ser definidas de forma simultánea, obligan al usuario a utilizar solo las aplicaciones preaprobadas por el administrador.

La funcionalidad utiliza una seguridad basada en la virtualización de Windows 11 Enterprise para aislar el servicio de integridad del código del núcleo. El equipo del empleado solo puede utilizarse para ejecutar código firmado aprobado por la empresa.

Device Guard requiere de microcódigo UEFI 2.3.1 o posterior, que soporte el arranque seguro, para impedir la carga en memoria de aplicaciones malintencionadas durante el proceso de arranque del sistema operativo. Además, se requiere un contenedor protegido por Hyper-V que aísle los procesos críticos de Windows 11 Enterprise.

 Este debe ser activado desde Configuración, Aplicaciones, Características opcionales, Más características de Windows.

 Seleccione Hipervisor Hyper-V.

images/06RIT024.png

Desde la versión 1607 de Windows 10, no es necesario activar las funcionalidades. La directiva de grupo instalará las funcionalidades.

La aprobación por Device Guard de sus aplicaciones se crea cuando estas se firman empleando una firma emitida Microsoft Store, de su PKI o de una autoridad de certificación de confianza.

La gestión de equipos protegidos por Device Guard se garantiza...

Windows Defender Credential Guard

Windows Defender Credential Guard aporta una capa de seguridad adicional, de forma conjunta con Device Guard; los usuarios de un dominio Active Directory tendrán su contraseña almacenada en un contenedor virtual, y no en la LSA (Local Security Authority). La función de Credential Guard es proteger los datos confidenciales de un ordenador virtual Hyper-V, igual que lo haría en un ordenador físico.

Se requiere de una arquitectura de 64 bits con Windows 11 Enterprise instalado en un equipo físico, al igual que un microcódigo UEFI 2.3.1 o superior y una infraestructura Hyper-V con las extensiones Intel VT-x/AMD-V y SLAT (Second Level Address Translation).

 La directiva de grupo local (gpedit.msc) utiliza el nodo Activar la seguridad basada en la virtualización para activar el modo Secure-Boot desde la siguiente ruta: Configuración del equipo - Plantillas administrativas - Sistema - Device Guard.

 Haga clic en la casilla Habilitada y, en el campo Configuración de Credential Guard, seleccione Habilitar sin bloqueo.

images/06RIT026.png

Configuración del Firewall de Windows Defender con seguridad avanzada

Un firewall es el equivalente de una cerradura colocada en una puerta: complica la tarea de una persona malintencionada, pero no protege completamente el conjunto de la casa. Debe utilizarse junto con otras medidas, como la utilización de un antivirus o la gestión de las actualizaciones de seguridad.

Su función es proteger el puesto de trabajo con Windows 11 contra accesos no autorizados de equipos presentes en una red (Internet, local, etc.).

El firewall proporcionado con Windows XP estaba considerado como poco seguro, porque no filtraba más que las comunicaciones entrantes. El Firewall de Windows con seguridad avanzada, incluido en Windows 11, verifica que los paquetes que circulan son seguros mediante una conexión iniciada (firewall con estado) y procura un filtrado en los dos sentidos del tráfico.

Windows 11 gestiona los perfiles de red en función del lugar donde se encuentra el usuario. Cada vez que se establece una primera conexión, se invita al usuario a definir su ubicación actual: privado (Domicilio), dominio (empresa) y público (cibercafé). Por ejemplo, el administrador puede autorizar el acceso al Escritorio remoto (puerto predeterminado 3389 en TCP) siempre que el usuario se encuentre en el dominio de la empresa, y prohibir su uso cuando esté conectado desde una red menos segura, como la de un cibercafé. Para cada ubicación, el firewall posee un conjunto de reglas aplicadas por defecto.

Windows 11 se suministra con dos firewalls: uno ofrece acciones simples, como autorizar o no un programa, el Firewall Windows Defender; el otro ofrece una gestión más precisa de los parámetros, se trata del Firewall Windows con seguridad avanzada.

 Es posible acceder al firewall de Windows desde Configuración, Privacidad y seguridad, Seguridad de Windows.

 Haga clic en el botón Abrir Seguridad de Windows.

images/06RIT027.png

 En la ventana Seguridad de Windows, haga clic en Firewall y protección de red y, a continuación, en Configuración avanzada. Confirme pulsando cuando aparezca el mensaje de control de cuenta de usuario.

images/06RIT028.png

Se puede acceder al firewall desde el Panel de control y al firewall con seguridad avanzada desde Herramientas de Windows o desde Configuración avanzada de la interfaz Firewall de Windows.

El firewall...

Administrador de credenciales

El inicio de sesión único, o SSO (Single Sign On), permite a un usuario de un sistema Windows 11 realizar una única autenticación para acceder a varios recursos (servidores, sitios de Internet, etc.). Con frecuencia, un usuario utiliza la misma contraseña para acceder a sitios de Internet diferentes (Facebook, LinkedIn, correo electrónico como Windows Live) reduciendo de esta manera el nivel de seguridad de estos servicios: si la contraseña compartida se sustrajera, todos los recursos que protege se verían comprometidos.

Frente a esta problemática, Microsoft presenta el Administrador de credenciales, que es una caja fuerte electrónica cuya principal función es el almacenamiento seguro de los identificadores y contraseñas utilizados regularmente por una cuenta de usuario. Windows 11 se encarga, en lo sucesivo, de introducirlos automáticamente durante el acceso a un recurso específico.

Las contraseñas pueden volverse más complejas porque el trabajo de memorizarlas ya no es necesario: aquello que ignoramos no puede ser revelado.

Utilizando una cuenta de Microsoft para autenticarse, el usuario puede abrir sesiones en otros puestos con Windows 11 y así acceder a sus aplicaciones protegidas por contraseñas almacenadas en la caja fuerte. Esta característica está activada de forma predeterminada cuando el equipo es miembro...

Auditoría

La auditoría en un dominio Active Directory o un grupo de trabajo permite seguir las acciones realizadas por los usuarios y sus equipos. En función de la información registrada, el administrador podrá visualizar y corregir un problema, pero también detectar una intrusión y, de este modo, anticipar un nuevo tipo de ataque.

Generalmente, los eventos de error son más instructivos que aquellos vinculados al éxito. No todo debe ser auditado, ya que el uso de esta funcionalidad conlleva un carga adicional (CPU, RAM, espacio en disco) en los puestos de trabajo, servidores y controladores de dominio.

Un atacante con privilegios de administrador podrá eliminar sus huellas y, por tanto, los eventos almacenados en los registros en los que se inscriben sus acciones malintencionadas: puede ser interesante separar los roles, otorgando a una cuenta de servicio, por ejemplo, el derecho de generar los eventos en un servidor remoto dedicado al almacenamiento, pero no concediendo a esa cuenta los permisos para eliminarlos o modificarlos. Una cuenta de auditoría tendrá acceso de lectura al registro con el fin de evaluarlo. Estas acciones pueden realizarse mediante los eventos reenviados (consulte el capítulo Protección y recuperación del sistema - apartado Reparación del sistema).

La directiva de auditoría se ha ampliado con Windows Server 2012 y Windows 11....

Seguridad en Microsoft Edge

Microsoft Edge es el navegador de Internet incluido con Windows 11. Ya no incluye soporte para barras de herramientas, scripts Visual Basic ni ActiveX, elementos que eran frecuentemente explotados por los hackers. Las extensiones usarán solamente HTML5 y JavaScript.

Además, Microsoft Edge alberga cada pestaña en un "sandbox", contenedor totalmente independiente que hospeda la página web visitada.

Otra funcionalidad interesante es la posibilidad de autenticarse en un sitio de internet empleando su cuenta Microsoft (código PIN e identificación biométrica).

Edge aporta mejoras en seguridad, tales como Exploración de InPrivate, que permite visitar sitios de Internet sin dejar huella o SmartScreen, que comprueba el sitio visitado en una lista de sitios reportados como maliciosos. Así mismo, incluye la protección contra el rastreo (funcionalidad de tracking), que tiene como objetivo impedir que un sitio obtenga sus hábitos de navegación para proponerle anuncios publicitarios.

El navegador de Microsoft se ha creado utilizando el ciclo de vida de desarrollo de la seguridad (SDL): Microsoft Edge impide, por ejemplo, que código malintencionado se ejecute en una memoria definida como no ejecutable. En adelante, el bloqueo de ventanas emergentes se encuentra activado, limitando de esta forma la aparición intempestiva de publicidad.

1. Protección...

Seguridad Windows y Antivirus

Para ayudar al administrador a proteger Windows 11 contra un software espía o malintencionado, Microsoft proporciona un antivirus de forma gratuita. Esta aplicación permite verificar los puestos de trabajo físicos o virtuales y ofrece las funciones comunes a los programas de la competencia:

  • Actualizaciones automáticas de las definiciones de virus empleando el servicio Windows Update.

  • Análisis rápido, completo, manual o planificado: posibilidad de excluir archivos, carpetas, particiones y procesos.

  • Alertas que se muestran en el Centro de actividades durante la instalación o ejecución de programas no deseados. Según su nivel, se proponen cuatro acciones: ignorar, poner en cuarentena, eliminar o autorizar siempre.

  • Protección en tiempo real de los componentes críticos del sistema: un agente controla los programas iniciados automáticamente, los parámetros de Windows 11, los componentes adicionales y descargas de Microsoft Edge, los servicios y controladores, la inscripción y ejecución de aplicaciones.

  • El antivirus puede ahora detectar los virus ejecutados en el kernel (núcleo) y la memoria RAM, para tratarlos como si fueran de tipo 0day: en efecto, una vulnerabilidad Zero Day no tiene ningún correctivo el día de su descubrimiento.

  • Además, mediante los datos de telemetría recopilados por Microsoft, el conocimiento de...

Resumen del capítulo

Windows 11 ofrece una amplia gama de herramientas de seguridad con el fin de cubrir todas las necesidades del usuario. Respecto a la protección de los puestos de trabajo, el UAC contribuye a impedir que programas malintencionados se instalen en el puesto que tiene Windows 11 utilizando privilegios elevados, y el Centro de actividades ofrece una vista central de los mensajes recientes relativos a temas de seguridad.

EFS (Encrypting File System) cifra los archivos y carpetas seleccionados de forma transparente en una partición NTFS. No es posible cifrar y comprimir un archivo o una carpeta al mismo tiempo. El agente de recuperación es una cuenta de usuario que puede descifrar cualquier archivo cifrado. Es conveniente crearlo para evitar la pérdida definitiva de datos cifrados.

BitLocker cifra todas las particiones, en modo sin conexión. BitLocker To Go hace lo mismo en los dispositivos extraíbles USB.

Igual que ocurría en las versiones anteriores de sistemas Microsoft, es importante instalar las actualizaciones de seguridad para Windows 11 con el fin de mantener el sistema estable y seguro. La empresa puede usar un servidor WSUS, ubicado en la red local, para gestionar los parches de seguridad y así ahorrar ancho de banda. Mediante un objeto de directiva de grupo, el administrador de dominio podrá definir los parámetros estándar de gestión de parches y aplicarlos...