Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Arranque de confianza (arranque seguro + arranque medido)
Windows 11 requiere que todos los equipos usen la característica de arranque seguro de unified Extensible Firmware Interface (UEFI). Cuando se inicia un dispositivo Windows 11, arranque seguro y arranque de confianza funcionan conjuntamente para evitar que se carguen malware y componentes dañados. El arranque seguro proporciona protección inicial y, a continuación, el arranque de confianza continúa el proceso.
El arranque seguro crea una ruta de acceso segura y de confianza desde la interfaz de firmware extensible unificada (UEFI) a través de la secuencia de arranque de confianza del kernel de Windows. Los protocolos de enlace de cumplimiento de firmas a lo largo de la secuencia de arranque entre los entornos UEFI, bootloader, kernel y aplicación bloquean los ataques de malware en la secuencia de arranque de Windows.
Para reducir el riesgo de rootkits de firmware, el equipo comprueba la firma digital del firmware al principio del proceso de arranque. A continuación, Arranque seguro comprueba la firma digital del cargador de arranque del sistema operativo y todo el código que se ejecuta antes de que se inicie el sistema operativo, lo que garantiza que la firma y el código no se cumplan y sean de confianza según la directiva de arranque seguro.
El arranque de confianza continúa el proceso que inicia el arranque seguro. El cargador de arranque de Windows comprueba la firma digital del kernel de Windows antes de cargarlo. El kernel de Windows comprueba todos los demás componentes del proceso de inicio de Windows, incluidos los controladores de arranque, los archivos de inicio y cualquier controlador antimalware (ELAM) de inicio anticipado del producto. Si alguno de estos archivos se manipula, el cargador de arranque detecta el problema y se niega a cargar el componente dañado. A menudo, Windows puede reparar automáticamente el componente dañado, restaurando la integridad de Windows y permitiendo que el equipo se inicie con normalidad.
Aprende más
Criptografía
La criptografía usa código para convertir datos de modo que solo un destinatario específico pueda leerlos mediante una clave. La criptografía exige privacidad para impedir que cualquier persona excepto el destinatario previsto lea datos, integridad para asegurarse de que los datos están libres de alteraciones y autenticación que comprueba la identidad para asegurarse de que la comunicación es segura. La pila de criptografía de Windows se extiende del chip a la nube, lo que permite que Windows, las aplicaciones y los servicios protejan los secretos del sistema y del usuario.
La criptografía en Windows está certificada por los Estándares Federales de Procesamiento de Información (FIPS) 140 . La certificación FIPS 140 garantiza que solo se usen algoritmos aprobados por el gobierno de EE. UU. (RSA para la firma, ECDH con curvas NIST para el contrato de clave, AES para cifrado simétrico y SHA2 para hash), comprueba la integridad del módulo para demostrar que no se ha producido ninguna alteración y demuestra la aleatoriedad de los orígenes de entropía.
Los módulos criptográficos de Windows proporcionan primitivos de bajo nivel, como:
- Generadores de números aleatorios (RNG)
- Cifrado simétrico y asimétrico (compatibilidad con AES 128/256 y RSA 512 a 16 384, en incrementos de 64 bits y ECDSA sobre curvas prime estándar NIST P-256, P-384, P-521)
- Algoritmos cuánticos posteriores (ML-KEM, ML-DSA)
- Hash (compatibilidad con SHA-256, SHA-384, SHA-512 y SHA-3*)
- Firma y comprobación (compatibilidad de relleno para OAEP, PSS, PKCS1)
- Acuerdo clave y derivación de claves (compatibilidad con ECDH sobre curvas prime estándar NIST P-256, P-384, P-521 y HKDF)
Windows expone de forma nativa los módulos criptográficos a través de Crypto API (CAPI) y Cryptography Next Generation API (CNG), que funciona con la biblioteca criptográfica de código abierto de Microsoft SymCrypt. SymCrypt forma parte del compromiso de Microsoft con la transparencia, que incluye el Programa global de seguridad de Microsoft Government que tiene como objetivo proporcionar la información de seguridad confidencial y los recursos que las personas necesitan para confiar en los productos y servicios de Microsoft. El programa ofrece acceso controlado al código fuente, el intercambio de información sobre amenazas y vulnerabilidades, oportunidades de interactuar con contenido técnico sobre los productos y servicios de Microsoft y acceso a cinco centros de transparencia distribuidos globalmente. Los desarrolladores de aplicaciones pueden usar las API para realizar operaciones criptográficas de bajo nivel (BCrypt), operaciones de almacenamiento de claves (NCrypt), proteger datos estáticos (DPAPI) y compartir secretos de forma segura (DPAPI-NG).
Windows incluye compatibilidad con la familia SHA-3 de funciones hash y funciones derivadas de SHA-3 (SHAKE, cSHAKE y KMAC). Estas son las funciones hash estandarizadas más recientes del Instituto Nacional de Estándares y Tecnología (NIST) y puedes usarlas a través de la biblioteca CNG de Windows:
- Funciones hash SHA-3 admitidas: SHA3-256, SHA3-384, SHA3-512 (NO se admite SHA3-224)
- Algoritmos HMAC de SHA-3 admitidos: HMAC-SHA3-256, HMAC-SHA3-384, HMAC-SHA3-512
- Algoritmos derivados SHA-3 admitidos: funciones de salida extensible (XOF) (SHAKE128, SHAKE256), XOF personalizables (cSHAKE128, cSHAKE256) y KMAC (KMAC128, KMAC256, KMACXOF128, KMACXOF256).
Criptografía post-cuántica
A principios de este año, compartimos compatibilidad con algoritmos post-cuánticos (ML-KEM, ML-DSA) en nuestra biblioteca criptográfica principal SymCrypt. Hemos seguido esa versión con compatibilidad con Windows Insider a través de CNG y las funciones de mensajería certificado y criptográfico. Nos complace ampliar este soporte técnico a la versión más reciente de Windows 11 compilación.
El uso de ML-KEM en escenarios en los que se desea la encapsulación de clave pública o el intercambio de claves, puede ayudar a prepararse para la cosecha ahora, descifrar la amenaza posterior .
Estos son los conjuntos de parámetros admitidos:
| Algoritmo | Tamaño de clave pública | Tamaño de texto cifrado | Tamaño del secreto compartido | Nivel de seguridad de NIST |
|---|---|---|---|---|
| ML-KEM 512 | 800 bytes | 768 bytes | 32 bytes | Nivel 1 |
| ML-KEM 768 | 1.184 bytes | 1088 bytes | 32 bytes | Nivel 3 |
| ML-KEM 1024 | 1.568 bytes | 1.568 bytes | 32 bytes | Nivel 5 |
La adición de ML-DSA en Cryptography API: Next Generation (CNG) permite a los desarrolladores empezar a experimentar con algoritmos PQC para escenarios que requieren la comprobación de identidad, integridad o autenticidad mediante firmas digitales.
Estos son los conjuntos de parámetros admitidos:
| Algoritmo | Tamaño de clave pública | Tamaño de clave privada | Tamaño de firma | Nivel de seguridad de NIST |
|---|---|---|---|---|
| ML-DSA-44 | 1.312 bytes | 2560 bytes | 2420 bytes | Nivel 2 |
| ML-DSA-65 | 1.952 bytes | 4032 bytes | 3309 bytes | Nivel 3 |
| ML-DSA-87 | 2.592 bytes | 4.896 bytes | 4.627 bytes | Nivel 5 |
Visite la página de nuestro desarrollador criptográfico para obtener más información sobre cómo puede empezar!
Certificados
Para ayudar a proteger y autenticar la información, Windows proporciona compatibilidad completa con certificados y administración de certificados. Use la utilidad de línea de comandos de administración de certificados integrada (certmgr.exe) o el complemento Microsoft Management Console (MMC) (certmgr.msc) para ver y administrar certificados, listas de confianza de certificados (CTL) y listas de revocación de certificados (CRL). Cada vez que se usa un certificado en Windows, el sistema valida que el certificado hoja y todos los certificados de su cadena de confianza no se revocan ni ponen en peligro. Los certificados raíz e intermedio de confianza y los certificados revocados públicamente en la máquina sirven como referencia para la confianza de la infraestructura de clave pública (PKI) y se actualizan mensualmente mediante el programa Raíz de confianza de Microsoft. Si se revoca un certificado o raíz de confianza, se actualizan todos los dispositivos globales, por lo que los usuarios pueden confiar en que Windows protege automáticamente contra vulnerabilidades en la infraestructura de clave pública. En el caso de las implementaciones empresariales y en la nube, Windows también ofrece a los usuarios la capacidad de inscribir automáticamente y renovar certificados en Active Directory con la directiva de grupo para reducir el riesgo de posibles interrupciones debido a la expiración del certificado o a una configuración incorrecta.
Firma de código e integridad
Para asegurarse de que los archivos de Windows son de confianza y no se han alterado, el proceso de integridad de código de Windows comprueba la firma de cada archivo que se ejecuta en el kernel de Windows. En los sistemas que aplican Smart App Control o una directiva de App Control para empresas, Windows amplía la comprobación de la integridad del código a todos los binarios en modo de usuario que se ejecuten también. La firma de código es fundamental para establecer la integridad del firmware, los controladores y el software en toda la plataforma Windows. La firma de código crea una firma digital mediante el cifrado del hash del archivo con la clave privada a partir de un certificado de firma de código y la inserción de esa firma en el archivo o en un catálogo de firmas. El proceso de integridad de código de Windows comprueba la integridad del archivo firmado comparando su hash con el hash firmado y confirma que el firmante es un publicador de buena reputación.
El entorno de Windows evalúa la firma digital en el código de arranque de Windows, el código del kernel de Windows y las aplicaciones en modo de usuario de Windows. Antes de que se ejecute la integridad del código, Arranque seguro comprueba la firma en cargadores de arranque, ROMs de opción y otros componentes de arranque para asegurarse de que los archivos no están modificados y proceden de un publicador de confianza y reputado. En el caso de los controladores que Microsoft no publica, la integridad del código del modo kernel comprueba la firma en los controladores del kernel y requiere que windows firme los controladores o que los certifique el Programa de compatibilidad de hardware (WHCP) de Windows. Este programa garantiza que los controladores de terceros son compatibles con varios hardware y Windows y que los controladores son de desarrolladores de controladores investigados.
Atestación de estado del dispositivo
El proceso de atestación de estado de dispositivos Windows admite un paradigma de Confianza cero que desplaza el foco de los perímetros estáticos basados en red a los usuarios, los recursos y los recursos. El proceso de atestación confirma que el dispositivo, el firmware y el proceso de arranque están en un buen estado y no se alteran antes de que puedan acceder a los recursos corporativos. El proceso realiza estas determinaciones con datos almacenados en el TPM, lo que proporciona una raíz segura de confianza. La información se envía a un servicio de atestación, como Azure Attestation, para comprobar que el dispositivo está en un estado de confianza. A continuación, una solución de administración de dispositivos nativa de la nube como Microsoft Intune[3] revisa el estado del dispositivo y conecta esta información con Microsoft Entra ID[3] para el acceso condicional.
Windows incluye muchas características de seguridad para ayudar a proteger a los usuarios de malware y ataques. Sin embargo, los componentes de seguridad solo son de confianza si la plataforma se inicia según lo esperado y no se altera. Como se indicó anteriormente, Windows se basa en el arranque seguro de Unified Extensible Firmware Interface (UEFI), ELAM, DRTM, Trusted Boot y otras características de seguridad de firmware y hardware de bajo nivel para proteger el equipo frente a ataques. Desde el momento en que enciende el equipo hasta que se inicia el antimalware, Windows cuenta con el respaldo de las configuraciones de hardware adecuadas que le ayudan a mantenerse a salvo. Arranque medido, implementado por cargadores de arranque y BIOS, comprueba y registra criptográficamente cada paso del arranque de forma encadenada. Estos eventos están enlazados al TPM, que funciona como una raíz de hardware de confianza. La atestación remota es el mecanismo por el que un servicio lee y comprueba estos eventos para proporcionar un informe verificable, imparcial y resistente a alteraciones. La atestación remota es el auditor de confianza del arranque del sistema, lo que permite a las partes dependientes enlazar la confianza con el dispositivo y su seguridad.
A continuación se muestra un resumen de los pasos implicados en la atestación y la Confianza cero en un dispositivo Windows:
- Durante cada paso del proceso de arranque (como una carga de archivos, la actualización de variables especiales, etc.), la información como los hashes de archivo y las firmas se mide en el registro de configuración de la plataforma TPM (PCR). Una especificación de Trusted Computing Group enlaza las medidas y determina qué eventos se pueden registrar y el formato de cada evento. Los datos proporcionan información importante sobre la seguridad del dispositivo desde el momento en que se encienden.
- Una vez que Se inicia Windows, el atestador (o comprobador) solicita al TPM que obtenga las medidas almacenadas en sus PCR junto con el registro de arranque medido. Juntas, estas medidas forman la evidencia de atestación que se envía al servicio de Azure Attestation.
- El servicio de certificado de Azure comprueba el TPM mediante las claves o el material criptográfico disponibles en el chipset.
- El servicio Azure Attestation recibe la información anterior para comprobar que el dispositivo está en un estado de confianza.
Aprende más
Configuración y auditoría de directivas de seguridad de Windows
La configuración de la directiva de seguridad desempeña un papel crucial en la estrategia de seguridad general. Windows ofrece un conjunto completo de directivas de configuración de seguridad que los administradores de TI pueden usar para ayudar a proteger los dispositivos Windows y otros recursos de la organización. Puede configurar las opciones de directiva de seguridad en uno o varios dispositivos para controlar:
- Autenticación de usuario en una red o dispositivo
- Recursos a los que los usuarios pueden acceder
- Si se van a registrar las acciones de un usuario o grupo en el registro de eventos
- Pertenencia a un grupo
La auditoría de seguridad es una de las herramientas más eficaces que puede usar para mantener la integridad de la red y los recursos. La auditoría puede ayudar a identificar ataques, vulnerabilidades de red y amenazas contra objetivos de alto valor. Puede especificar categorías de eventos relacionados con la seguridad para crear una directiva de auditoría adaptada a las necesidades de su organización mediante proveedores de servicios de configuración (CSP) o directivas de grupo.
Todas las categorías de auditoría se deshabilitan al instalar Windows por primera vez. Antes de habilitarlos, siga estos pasos para crear una directiva de auditoría de seguridad eficaz:
- Identifique los recursos y las actividades más críticos.
- Identifique la configuración de auditoría que necesita para realizar un seguimiento de ellas.
- Evalúe las ventajas y los posibles costos asociados a cada recurso o configuración.
- Pruebe esta configuración para validar las opciones.
- Desarrolle planes para implementar y administrar la directiva de auditoría.
Aprende más
Impresión protegida por Windows
La impresión protegida por Windows proporciona un sistema de impresión moderno y seguro que maximiza la compatibilidad y coloca a los usuarios en primer lugar. Simplifica la experiencia de impresión al permitir que los dispositivos impriman exclusivamente con la pila de impresión moderna de Windows.
Las ventajas de la impresión protegida por Windows incluyen:
- Mayor seguridad del equipo
- Experiencia de impresión simplificada y coherente, independientemente de la arquitectura del equipo
- Elimina la necesidad de administrar controladores de impresión
La impresión protegida por Windows solo funciona con impresoras certificadas Mopria. Muchas impresoras existentes ya son compatibles.
Aprende más
Rust para Windows
Rust es un lenguaje de programación moderno conocido por su enfoque en la seguridad, el rendimiento y la simultaneidad. Evita errores de programación comunes, como la desreferenciación de punteros NULL y desbordamientos de búfer, lo que puede provocar vulnerabilidades de seguridad y bloqueos. Rust logra esta protección a través de su sistema de propiedad único, que garantiza la seguridad de la memoria sin necesidad de un recolector de elementos no utilizados. Estamos ampliando la integración de Rust en el kernel de Windows para mejorar la seguridad y confiabilidad del código base de Windows. Este movimiento estratégico subraya nuestro compromiso con la adopción de tecnologías modernas para mejorar la calidad y la seguridad de Windows.
Aprende más
Funcionalidad de Sysmon
La funcionalidad sysmon llegará próximamente a Windows. La funcionalidad Sysmon en Windows proporciona señales de detección de amenazas fáciles de activar, enriquecidas y personalizables, valoradas por los equipos de seguridad empresariales, proveedores de seguridad de terceros y otros asociados. La próxima versión de la funcionalidad Sysmon en Windows ayuda a simplificar las operaciones, reducir las cargas de implementación y aumentar significativamente la visibilidad de los registros de Windows. Con esta funcionalidad, los equipos de seguridad pueden identificar las amenazas de forma más rápida y eficaz.
Aprende más