Información general sobre Device Guard

Información general sobre Device Guard

Última actualización
  • 14 de enero de 2016
Se aplica a
  • Windows 10
  • Windows 10 Mobile
Device Guard es una combinación de características de seguridad de hardware y software relacionadas con la empresa que, configuradas conjuntamente, bloquean un dispositivo para que solo pueda ejecutar aplicaciones de confianza. Si la aplicación no es de confianza, no se podrá ejecutar. Esto también significa que incluso si un atacante consigue controlar el kernel de Windows, es mucho menos probable que pueda ejecutar código malintencionado después de que el equipo se reinicie debido a la forma en que se toman las decisiones sobre qué se puede ejecutar y en qué momento.
Device Guard usa la nueva seguridad basada en virtualización de Windows 10 Enterprise para aislar el servicio de integridad de código del propio kernel de Microsoft Windows, lo que permite al servicio usar firmas definidas por la directiva controlada por la empresa para determinar qué es de confianza. De hecho, el servicio Integridad de código se ejecuta en el kernel en un contenedor de Windows protegido por hipervisor.
Para obtener más información sobre cómo implementar Device Guard, consulta Guía de implementación de Device Guard.

Razones para usar Device Guard

Teniendo en cuenta que cada día se crean miles de archivos malintencionados nuevos, el uso de métodos tradicionales como la detección basada en firmas para luchar contra el malware proporciona una defensa inadecuada ante ataques nuevos. En Windows 10 Enterprise, Device Guard cambia de un modo en que las aplicaciones son de confianza, a menos que las bloquee el antivirus u otras soluciones de seguridad, a un modo en que el sistema operativo solo confía en las aplicaciones autorizadas por la empresa.
Device Guard también protege contra ataques de día cero y funciona para combatir los desafíos de virus polimórficos.

Ventajas de usar Device Guard

Puedes sacar provecho de las ventajas de Device Guard en función de lo que activas y usas:
  • Ofrece protección segura contra malware con capacidad de administración empresarial
  • Proporciona la protección contra malware más avanzada que nunca que se ofrece en la plataforma de Windows
  • Ofrece resistencia mejorada contra alteraciones

Cómo funciona Device Guard

Device Guard restringe el sistema operativo Windows 10 Enterprise para que ejecute solamente código que esté firmado por los firmantes de confianza definidos en la directiva de integridad de código mediante configuraciones de seguridad y hardware concretas como las siguientes:
  • Integridad de código de modo usuario (UMCI)
  • Nuevas reglas de integridad de código del kernel [incluidas las restricciones de firma de los Laboratorios de calidad de hardware de Windows (WHQL)]
  • Arranque seguro con restricciones de base de datos (db/dbx)
  • Seguridad basada en la virtualización para proteger la memoria del sistema y los controladores y las aplicaciones en modo kernel contra posibles alteraciones.
  • Opcional: Módulo de plataforma segura (TPM) 1.2 o 2.0
Device Guard funciona con el proceso de creación de imágenes para que puedas activar la característica de seguridad basada en virtualización en los dispositivos compatibles, configurar la directiva de integridad de código y establecer otras opciones de configuración del sistema operativo necesarias en Windows 10 Enterprise. Después, Device Guard funciona para proteger tus dispositivos:
  1. El dispositivo se inicia con el arranque seguro de UEFI (interfaz de firmware extensible universal) para que no se puedan ejecutar kits de arranque y para que Windows 10 Enterprise se inicie antes que nada.
  2. Después de iniciar de forma segura los componentes de arranque de Windows, Windows 10 Enterprise puede iniciar los servicios de seguridad basada en virtualización de Hyper-V, que incluyen la integridad de código en modo kernel. Estos servicios protegen el núcleo del sistema (kernel), los controladores con privilegios y las defensas del sistema, como las soluciones antimalware, e impiden que se ejecute malware desde el principio en el proceso de arranque o en el kernel después del inicio.
  3. Device Guard usa UMCI para asegurarse de que todo lo que se ejecuta en modo usuario, como un servicio, una aplicación de la Plataforma universal de Windows (UWP) o una aplicación clásica de Windows es de confianza, permitiendo solamente la ejecución de binarios de confianza.
  4. Al mismo tiempo que se inicia Windows 10 Enterprise, también se inicia el Módulo de plataforma segura (TPM). TPM proporciona un componente de hardware aislado que protege la información confidencial, como las credenciales de usuario y los certificados.

Software y hardware necesario

La siguiente tabla muestra el hardware y software necesarios para instalar, configurar e implementar Device Guard.
RequisitosDescripción
Windows 10 EnterpriseEl equipo debe ejecutar Windows 10 Enterprise.
Firmware UEFI versión 2.3.1 o posterior y arranque seguroPara comprobar que el firmware está usando la versión UEFI 2.3.1 o posteriores y el arranque seguro, puedes validarlo con respecto al requisito del programa de compatibilidad de hardware de Windows System.Fundamentals.Firmware.CS.UEFISecureBoot.ConnectedStandby.
Extensiones de virtualizaciónLas siguientes extensiones de virtualización son necesarias para admitir la seguridad basada en la virtualización:
  • Intel VT-x o AMD-V
  • Traducción de direcciones de segundo nivel
Bloqueo de firmwareLa configuración de firmware se debe bloquear para evitar que otros sistemas operativos se inicien y para evitar cambios en la configuración de UEFI. También debes deshabilitar los métodos de arranque excepto desde el disco duro.
Arquitectura x64Las características que usa la seguridad basada en la virtualización en el hipervisor de Windows solo pueden ejecutarse en un equipo de 64 bits.
Un VT-d o AMD Vi IOMMU (unidad de administración de memoria de entrada y salida)En Windows 10, un IOMMU mejora la resistencia del sistema contra los ataques a la memoria. ¹
Proceso de actualización segura de firmwarePara comprobar que el firmware cumple el proceso de actualización segura de firmware, puedes validarlo con respecto al requisito del programa de compatibilidad de hardware de Windows System.Fundamentals.Firmware.UEFISecureBoot.

Antes de usar Device Guard en la empresa

Antes de poder usar correctamente Device Guard, debes configurar el entorno y las directivas.

Firma de las aplicaciones

El modo Device Guard admite aplicaciones para UWP aplicaciones clásicas de Windows. La confianza Device Guard y las aplicaciones se produce cuando las aplicaciones están firmadas con una firma que consideras de confianza. No funcionará cualquier firma.
Esta firma se puede realizar mediante:
  • El proceso de publicación de la Tienda Windows. Todas las aplicaciones que provienen de Microsoft Store se firman automáticamente con firmas especiales que se pueden implementar en nuestra entidad de certificación (CA) o en la tuya.
  • Tu propio certificado digital o infraestructura de clave pública (PKI). Los ISV y las empresas pueden firmar sus propias aplicaciones clásicas de Windows y agregarse a sí mismos a la lista de firmantes de confianza.
  • Una entidad de firma que no es Microsoft. Los ISV y las empresas pueden usar una entidad de firma de confianza que no es Microsoft para firmar sus propias aplicaciones clásicas de Windows.
  • Un servicio web proporcionado por Microsoft (disponible este año más adelante). Las ISV y las empresas podrán usar un servicio web proporcionado por Microsoft más seguro para firmar sus aplicaciones clásicas de Windows.

Directiva de Integridad de código

Antes de poder usar la protección de aplicaciones incluida en Device Guard, debes crear una directiva de Integridad de código con las herramientas proporcionadas por Microsoft, pero implementadas con tus herramientas de administración actuales, como la directiva de grupo. La directiva de integridad de código es un documento XML con codificación binaria que incluye opciones de configuración para los modos usuario y kernel de Windows 10 Enterprise, junto con restricciones sobre los hosts de scripts de Windows 10. Esta directiva restringe el código que se puede ejecutar en un dispositivo.
Para la característica Device Guard, los dispositivos solo deben tener la integridad de código preconfigurada si el cliente proporciona la configuración para una imagen proporcionada por el cliente.
Nota  Este documento XML se puede firmar en Windows 10 Enterprise, lo cual ofrece protección adicional contra la modificación o la eliminación de esta directiva por parte de los usuarios administrativos.

Seguridad basada en virtualización con el hipervisor de Windows 10 Enterprise

El hipervisor de Windows 10 Enterprise presenta nuevas funcionalidades en torno a los niveles de confianza virtual, lo que permite a los servicios de Windows 10 Enterprise ejecutarse en un entorno protegido de manera aislada del sistema operativo en ejecución. La seguridad basada en virtualización de Windows 10 Enterprise protege la integridad de código del kernel y facilita el aislamiento de las credenciales de la entidad de seguridad local (LSA). Permitir que el servicio de Integridad de código del kernel se ejecute como un servicio hospedado por un hipervisor aumenta el nivel de protección en torno al sistema operativo raíz y agrega protección adicional contra malware que pone en peligro la capa del kernel.
Importante  Los dispositivos Device Guard que ejecutan la Integridad de código del kernel con seguridad basada en virtualización deben tener controladores compatibles (los controladores heredados pueden actualizarse) y todas las funcionalidades de virtualización activadas. Esto incluye la compatibilidad con extensiones de virtualización y la unidad de administración de memoria de entrada y salida (IOMMU).

Comentarios

Publicar un comentario

Entradas populares de este blog

Ventajas, Desventajas y Posicionamiento SEO en DuckDuckGo

Ventajas, Desventajas y Posicionamiento SEO en DuckDuckGo.com Ventajas, Desventajas y Posicionamiento SEO en DuckDuckGo.com ¿Qué es DuckDuckGo.com? DuckDuckGo es un motor de búsqueda híbrido, que emplea la información de sitios públicos como Wikipedia y se basa en la API de motores de búsqueda como Yahoo! y Google, además de usar su propio rastreador, pero no guarda la información del usuario, con lo cual, cualquier persona haciendo la misma búsqueda obtendrá los mismos resultados. Desventajas de usar DuckDuckGo.com Personalmente, creo que la gran desventaja de DuckDuckGo.com es su nombre, ya que es difícil de escribir, recordar y tiene muchos caracteres. Encima, cuando intentaron solucionar el problema del nombre, decidieron comprar el dominio “duck.com” que pertenecía a On2 Technologies, la cual rechazó la oferta, y para colmo, poco después, Google compró el dominio a On2 y ahora “duck.com” redirecciona a Google. El idioma, también es algo que deben de mejorar, ya que predomina  únic
Leer más

Guía VPN Windows 10: cómo configurarla, trucos y las mejores VPN gratis

Imagen
Guía VPN: cómo configurarla, trucos y las mejores VPN gratis Guía VPN: cómo configurarla, trucos y las ... Redes VPN corresponde a las sigas de Virtual Private Network o lo que viene a ser Red Privada Virtual . Unas siglas que ya muchos conocen y de hecho puede que estén haciendo uso de alguna, mientras que otros puede que hayan oído hablar de ello sin saber exactamente qué es, para qué sirve y cómo podemos configurar una VPN en nuestro ordenador. Para esos y para aquellos que quieran s
Leer más

Cómo solucionar problemas comunes de TPM y BitLocker

Imagen
Cómo solucionar problemas comunes de TPM y BitLocker En este artículo se proporciona una guía para identificar y solucionar problemas comunes que pueda encontrar en TPM o BitLocker. Tabla de contenido ¿Qué es TPM? ¿Qué es la tecnología Intel Platform Trust (PTT)? ¿Qué computadoras Dell tienen un TPM? ¿Qué es BitLocker? Problemas y soluciones comunes para TPM y BitLocker Puntos de falla de TPM y solución de problemas Puntos de falla de BitLocker y solución de problemas Recursos adicionales   1. ¿Qué es TPM? Un TPM (módulo de plataforma segura) es un chip que se encuentra en el interior de la computadora, que va soldado a la tarjeta madre de los sistemas Dell. La función principal de un TPM es generar claves criptográficas de manera segura, pero tiene otras funciones también. Cada chip TPM tiene una clave RSA única y secreta, que se graba en el chip durante el proceso de producción. Se puede utilizar un TPM para obtener seguridad, tales como Bi
Leer más