Compartir a través de

Seguridad de red

Diagrama que contiene una lista de características de seguridad.

Windows 11 aumenta el nivel de seguridad de red, ofreciendo una protección completa para ayudar a las personas a trabajar con confianza desde casi cualquier lugar. Para ayudar a reducir la superficie expuesta a ataques de una organización, la protección de red en Windows impide que las personas accedan a direcciones IP y dominios peligrosos que pueden hospedar estafas de phishing, vulnerabilidades de seguridad y otro contenido malintencionado. Con los servicios basados en la reputación, la protección de red bloquea el acceso a dominios potencialmente dañinos y de baja reputación y direcciones IP.

Las nuevas versiones del protocolo DNS y TLS refuerzan las protecciones de un extremo a otro necesarias para las aplicaciones, los servicios web y las redes Confianza cero. El acceso a archivos agrega un escenario de red que no es de confianza con bloque de mensajes del servidor a través de QUIC y nuevas funcionalidades de cifrado y firma. Wi-Fi y los avances de Bluetooth también proporcionan una mayor confianza en las conexiones a otros dispositivos. Además, las plataformas VPN y Firewall de Windows ofrecen nuevas formas de configurar y depurar software fácilmente.

En entornos empresariales, la protección de red funciona mejor con Microsoft Defender para punto de conexión, que proporciona informes detallados sobre eventos de protección como parte de escenarios de investigación más grandes.

Aprende más

Seguridad de la capa de transporte (TLS)

Seguridad de la capa de transporte (TLS) es un protocolo de seguridad que cifra los datos en tránsito. Ayuda a proporcionar un canal de comunicación seguro entre dos puntos de conexión. Windows habilita las versiones de protocolo más recientes y los conjuntos de cifrado seguros de forma predeterminada. Ofrece un conjunto completo de extensiones, como la autenticación de cliente para mejorar la seguridad del servidor y la reanudación de sesión para mejorar el rendimiento de las aplicaciones. TLS 1.3 es la versión más reciente del protocolo y está habilitada de forma predeterminada en Windows. Esta versión elimina los algoritmos criptográficos obsoletos, mejora la seguridad con respecto a las versiones anteriores y pretende cifrar la mayor parte posible del protocolo de enlace TLS. El protocolo de enlace es más eficaz con un viaje de ida y vuelta menos por conexión en promedio. Solo admite conjuntos de cifrado seguros que proporcionan un secreto directo perfecto y menos riesgo operativo. El uso de TLS 1.3 proporciona más privacidad y latencias más bajas para las conexiones en línea cifradas. Si la aplicación cliente o de servidor de cualquier lado de la conexión no admite TLS 1.3, la conexión vuelve a TLS 1.2. Windows usa la versión más reciente de Seguridad de la capa de transporte de datagramas (DTLS) 1.2 para las comunicaciones UDP.

Aprende más

Seguridad del sistema de nombres de dominio (DNS)

En Windows 11, el cliente DNS de Windows admite DNS a través de HTTPS y DNS a través de TLS, dos protocolos DNS cifrados. Estos permiten a los administradores asegurarse de que sus dispositivos protegen sus consultas de nombres frente a atacantes en la ruta de acceso, ya sean observadores pasivos que registren el comportamiento de exploración o atacantes activos que intenten redirigir clientes a sitios malintencionados. En un modelo de Confianza cero en el que no se coloca ninguna confianza en un límite de red, es necesario tener una conexión segura a un solucionador de nombres de confianza.

Windows 11 proporciona controles de programación y directiva de grupo para configurar el comportamiento de DNS a través de HTTPS. Como resultado, los administradores de TI pueden ampliar la seguridad existente para adoptar nuevos modelos, como Confianza cero. Los administradores de TI pueden exigir dns a través del protocolo HTTPS, lo que garantiza que los dispositivos que usan DNS no seguros no puedan conectarse a los recursos de red. Los administradores de TI también tienen la opción de no usar DNS a través de HTTPS o DNS a través de TLS para implementaciones heredadas en las que se confía en los dispositivos perimetrales de red para inspeccionar el tráfico DNS de texto sin formato. De forma predeterminada, Windows 11 aplazará al administrador local en el que los solucionadores deben usar DNS cifrado.

La compatibilidad con el cifrado DNS se integra con configuraciones dns de Windows existentes, como la tabla de directivas de resolución de nombres (NRPT), el archivo hosts del sistema y las resoluciones especificadas por adaptador de red o perfil de red. La integración ayuda a Windows 11 asegurarse de que las ventajas de una mayor seguridad de DNS no regresen los mecanismos de control de DNS existentes.

Zero Trust DNS (ZTDNS)

Zero Trust DNS (ZTDNS) es una característica de seguridad Windows 11 que aplica controles de acceso de red basados en dominio en el punto de conexión. Aplica Confianza cero principios a la resolución DNS, lo que garantiza que los dispositivos solo se conecten a destinos comprobados a través de servidores DNS de confianza. Esto reduce los riesgos como el secuestro de DNS, los ataques de malware y la filtración de datos.

Funcionalidades clave

  • Aplicación de DNS cifrada: admite DNS a través de HTTPS (DoH) y DNS sobre TLS (DoT) para proteger las consultas DNS de la interceptación y manipulación.
  • Access Control basada en directivas: bloquea el tráfico IP saliente a menos que el destino lo resuelva un servidor DNS aprobado por el administrador o lo permita explícitamente la directiva.
  • Confianza cero Alineación: implementa "nunca confiar, siempre comprobar" en la capa DNS, complementando estrategias de red de Confianza cero más amplias.

Ventajas

  • Mejora la protección contra ataques basados en DNS sin interrumpir el tráfico DNS cifrado.
  • Ayuda a las organizaciones a cumplir con los mandatos de cumplimiento, como la Orden Ejecutiva 14028 y OMB M-22-09 para la aplicación cifrada de DNS y DNS protector.
  • Proporciona control centralizado y auditoría de la resolución DNS para entornos empresariales.

Aprende más

Protección bluetooth

El número de dispositivos Bluetooth conectados a Windows 11 sigue aumentando. Los usuarios de Windows conectan sus auriculares Bluetooth, ratones, teclados y otros accesorios y mejoran su experiencia diaria de PC disfrutando de streaming, productividad y juegos. Windows admite todos los protocolos de emparejamiento Bluetooth estándar, incluidas las conexiones clásicas y seguras de LE, el emparejamiento simple seguro y el emparejamiento clásico y heredado de LE. Windows también implementa la privacidad de LE basada en host. Las actualizaciones de Windows ayudan a los usuarios a mantenerse al día con las características de seguridad del sistema operativo y del controlador de acuerdo con el Grupo de interés especial (SIG) de Bluetooth y los informes de vulnerabilidades de Standard, así como problemas más allá de los requeridos por los estándares principales del sector de Bluetooth. Microsoft recomienda encarecidamente mantener actualizados el firmware y el software de los accesorios Bluetooth.

Los entornos administrados por TI tienen una serie de opciones de configuración de directiva disponibles a través de proveedores de servicios de configuración, directiva de grupo y PowerShell. Puede administrar esta configuración a través de soluciones de administración de dispositivos como Microsoft Intune[3]. Puede configurar Windows para que use la tecnología Bluetooth y, al mismo tiempo, admitir las necesidades de seguridad de su organización. Por ejemplo, puedes permitir la entrada y el audio mientras bloqueas la transferencia de archivos, forzar los estándares de cifrado, limitar la detectabilidad de Windows o incluso deshabilitar Bluetooth completamente para los entornos más confidenciales.

Aprende más

conexiones Wi-Fi

Windows Wi-Fi admite métodos de autenticación y cifrado estándar del sector al conectarse a redes Wi-Fi. WPA (Acceso protegido por Wi-Fi) es un estándar de seguridad definido por Wi-Fi Alliance (WFA) para proporcionar cifrado de datos sofisticados y una mejor autenticación del usuario.

El estándar de seguridad actual para la autenticación de Wi-Fi es WPA3, que proporciona un método de conexión más seguro y confiable en comparación con WPA2 y los protocolos de seguridad anteriores. Windows admite tres modos WPA3: WPA3 Personal, WPA3 Enterprise y WPA3 Enterprise suite B de 192 bits.

Windows 11 incluye WPA3 Personal con el nuevo protocolo H2E y WPA3 Enterprise Suite B de 192 bits. Windows 11 también admite WPA3 Enterprise, que incluye la validación mejorada de certificados de servidor y TLS 1.3 para la autenticación mediante la autenticación EAP-TLS.

También se incluye el cifrado inalámbrico oportunista (OWE), una tecnología que permite a los dispositivos inalámbricos establecer conexiones cifradas a puntos de acceso públicos Wi-Fi.

Wi-Fi 7: un Game-Changer para empresas

A partir de septiembre de 2025, Windows 11 (versión 24H2 y posteriores) presenta un importante avance en las redes inalámbricas con compatibilidad con Wi-Fi 7. Las organizaciones ahora pueden aprovechar las ventajas de velocidades más rápidas, mayor rendimiento, confiabilidad mejorada y seguridad mejorada, ideales para entornos empresariales modernos equipados con Wi-Fi 7 puntos de acceso.

Wi-Fi 7 para empresas está diseñado para satisfacer las necesidades de seguridad en constante evolución y, al mismo tiempo, ayudar a admitir una conectividad confiable en escenarios de alta densidad y alto rendimiento.

¿Por qué Wi-Fi 7 importa para las empresas?

  • Autenticación de WPA3-Enterprise necesaria
  • Itinerancia sin problemas y mejoras específicas de la empresa
  • Ventajas de rendimiento

La seguridad es una responsabilidad compartida. A través de la colaboración entre ecosistemas de hardware y software, podemos crear sistemas más resistentes seguros por diseño y, de forma predeterminada, desde Windows a la nube, lo que permite la confianza en cada nivel de la experiencia digital.

Wi-Fi 7 para empresas ayuda a garantizar que todos los dispositivos que se conectan a las redes empresariales se benefician de protocolos de cifrado más seguros, resistencia a ataques por fuerza bruta y protección mejorada para los datos confidenciales en tránsito. Al aplicar WPA3-Enterprise, Wi-Fi 7 ayuda a eliminar vulnerabilidades heredadas y establece una nueva línea base para una conectividad segura y de alto rendimiento en entornos empresariales modernos. Obtenga información sobre cómo importar la configuración de Wi-Fi para dispositivos Windows en Microsoft Intune.

Desbloquear Wi-Fi 7 ventajas para su organización

Wi-Fi 7 para la conectividad empresarial en Windows es el resultado de una colaboración profunda en todo el ecosistema. Wi-Fi fabricantes de silicon y Wi-Fi fabricantes de puntos de acceso empresariales ayudan a garantizar que Wi-Fi 7 esté listo para las implementaciones empresariales del mundo real.

Requisitos previos para habilitar Wi-Fi 7:

  • Versión de Windows compatible con Wi-Fi 7: Los dispositivos deben estar en Windows 11, versión 24H2, actualizada con la actualización de no seguridad de la versión preliminar de septiembre de 2025 o posterior.
  • Portátiles empresariales Windows compatibles con Wi-Fi 7: Los dispositivos deben estar equipados con Wi-Fi chipsets compatibles con 7.
  • Compatibilidad con controladores certificados de Windows Wi-Fi 7: Actualice los controladores de Wi-Fi empresariales y valide para Wi-Fi 7 funciones empresariales en Windows. Wi-Fi 7 controladores están disponibles a través del fabricante de equipos originales (OEM) del dispositivo o del proveedor de hardware independiente (IHV). Para obtener fechas de lanzamiento específicas, póngase en contacto directamente con el fabricante de chip OEM/Wi-Fi.
  • Puntos de acceso Wi-Fi 7 Enterprise: Implemente Wi-Fi 7 puntos de acceso de nivel empresarial en su organización. Con estos componentes en su lugar, está listo para habilitar la conectividad inalámbrica de última generación en los entornos empresariales. Por lo tanto, comience a ofrecer rendimiento, seguridad y conectividad mejorados para los usuarios y las cargas de trabajo hoy mismo.

Aprende más

5G y eSIM

Las redes 5G usan un cifrado más seguro y una mejor segmentación de red en comparación con las generaciones anteriores de protocolos móviles. A diferencia de Wi-Fi, el acceso 5G siempre usa la autenticación mutua. El dispositivo inserta físicamente un eSIM certificado por EAL4 que almacena las credenciales de acceso, lo que dificulta mucho la manipulación de los atacantes. Juntos, 5G y eSIM proporcionan una base sólida para la seguridad.

Aprende más

Firewall de Windows

Firewall de Windows es una parte importante de un modelo de seguridad por capas. Proporciona filtrado de tráfico de red bidireccional basado en host, lo que bloquea el flujo de tráfico no autorizado dentro o fuera del dispositivo local en función de los tipos de redes a las que se conecta el dispositivo.

Firewall de Windows ofrece las siguientes ventajas:

  • Reduce el riesgo de amenazas de seguridad de red: Firewall de Windows reduce la superficie expuesta a ataques de un dispositivo con reglas que restringen o permiten el tráfico por muchas propiedades, como direcciones IP, puertos o rutas de acceso del programa. Esta funcionalidad aumenta la capacidad de administración y reduce la probabilidad de un ataque correcto.
  • Protege la información confidencial y la propiedad intelectual: al integrarse con seguridad de protocolo de Internet (IPSec), Firewall de Windows proporciona una manera sencilla de aplicar las comunicaciones de red autenticadas de un extremo a otro. Proporciona acceso escalable y en capas a los recursos de red de confianza, lo que ayuda a aplicar la integridad de los datos y, opcionalmente, ayuda a proteger la confidencialidad de los datos.
  • Amplía el valor de las inversiones existentes: dado que Firewall de Windows es un firewall basado en host que se incluye con el sistema operativo, no necesita hardware ni software adicionales. Firewall de Windows también está diseñado para complementar las soluciones de seguridad de red existentes que no son de Microsoft a través de una interfaz de programación de aplicaciones (API) documentada.

Windows 11 facilita el análisis y la depuración del Firewall de Windows. El comportamiento de IPSec se integra con el Monitor de paquetes, una herramienta de diagnóstico de red entre componentes integrada para Windows. Además, los registros de eventos de Firewall de Windows se han mejorado para garantizar que una auditoría pueda identificar el filtro específico responsable de cualquier evento determinado. Esta característica permite el análisis del comportamiento del firewall y la captura enriquecida de paquetes sin depender de herramientas de terceros.

Los administradores pueden configurar más opciones a través de las plantillas de directiva firewall y regla de firewall en el nodo Endpoint Security de Microsoft Intune[3], mediante la compatibilidad con la plataforma del proveedor de servicios de configuración de firewall (CSP) y aplicando esta configuración a los puntos de conexión de Windows.

El proveedor de servicios de configuración de firewall (CSP) de Windows aplica un enfoque de todo o nada para aplicar reglas de firewall dentro de cada bloque atómico. Anteriormente, si el CSP encontró un problema con cualquier regla de un bloque, dejó de procesar esa regla y dejó de procesar las reglas posteriores, lo que podría dejar una brecha de seguridad con bloques de reglas parcialmente implementados. Ahora, si alguna regla del bloque no se puede aplicar correctamente, el CSP deja de procesar las reglas posteriores y revierte todas las reglas de ese bloque atómico, lo que elimina la ambigüedad de los bloques de reglas parcialmente implementados.

Aprende más

Redes privadas virtuales (VPN)

Las organizaciones dependen de Windows para proporcionar soluciones de red privada virtual (VPN) confiables, seguras y administrables. La plataforma cliente VPN de Windows incluye protocolos VPN integrados, compatibilidad con la configuración, una interfaz de usuario de VPN común y compatibilidad de programación con protocolos VPN personalizados. Puede encontrar aplicaciones VPN en Microsoft Store para VPN empresariales y de consumidor, incluidas las aplicaciones para las puertas de enlace de VPN empresariales más populares.

En Windows 11, hemos integrado los controles VPN más usados directamente en el panel acciones rápidas de Windows 11. En el panel Acciones rápidas, los usuarios pueden comprobar el estado de su VPN, iniciar y detener la conexión y abrir fácilmente Configuración para obtener más controles.

La plataforma VPN de Windows se conecta a Microsoft Entra ID[3] y al acceso condicional para el inicio de sesión único, incluida la autenticación multifactor (MFA) a través de Microsoft Entra ID. La plataforma VPN también admite la autenticación clásica unida a un dominio. Microsoft Intune\3] y otras soluciones de administración de dispositivos lo admiten. El perfil de VPN flexible admite protocolos integrados y protocolos personalizados. Puede configurar varios métodos de autenticación y puede iniciarse automáticamente según sea necesario o iniciarse manualmente por el usuario final. También admite VPN de túnel dividido y VPN exclusiva con excepciones para sitios externos de confianza.

Con las aplicaciones VPN de Plataforma universal de Windows (UWP), los usuarios finales nunca se bloquean en una versión anterior de su cliente VPN. La tienda actualiza automáticamente las aplicaciones VPN según sea necesario. Naturalmente, los administradores de TI controlan las actualizaciones.

La plataforma VPN de Windows está optimizada y protegida para proveedores de VPN basados en la nube, como Azure VPN. Características como la autenticación de Microsoft Entra ID, la integración de la interfaz de usuario de Windows, los selectores de tráfico IKE de plomería y la compatibilidad con el servidor están integradas en la plataforma VPN de Windows. La integración en la plataforma VPN de Windows conduce a una experiencia de administración de TI más sencilla. La autenticación de usuario es más coherente y los usuarios pueden encontrar y controlar fácilmente su VPN.

Aprende más

Servicios de archivos de bloque de mensajes de servidor

Los servicios de archivos y bloque de mensajes de servidor (SMB) son las cargas de trabajo de Windows más comunes en el ecosistema comercial y del sector público. Los usuarios y las aplicaciones dependen de SMB para acceder a los archivos que ejecutan organizaciones de todos los tamaños.

Windows 11 presenta actualizaciones de seguridad importantes para satisfacer las amenazas actuales, incluido el cifrado SMB AES-256, la firma SMB acelerada, el cifrado de red de acceso a memoria de directorio remoto (RDMA) y SMB a través de QUIC para redes que no son de confianza.

Las opciones de seguridad recientes incluyen la firma SMB obligatoria de forma predeterminada, el bloqueo NTLM, la limitación de velocidad de autenticación y otras mejoras.

Aprende más

  • Last updated on