Lectura oscura | Seguridad | Proteja el negocio



Una de las conclusiones clave del anuncio de Windows 11 de Microsoft esta semana son los nuevos requisitos básicos de seguridad de components de la compañía para ejecutar el sistema operativo.

El nuevo SO está diseñado para ejecutarse solo en sistemas que incluyen Dependable Platform Module (TPM) 2., un chip de seguridad para almacenar claves de forma segura y otros secretos para autenticar un sistema al arrancar. Eso significa que el sistema operativo se instalará solo en sistemas basados ​​en chips Intel de octava generación y más nuevos y en procesadores AMD Ryzen 2000 y posteriores. Estos son procesadores que comenzaron a distribuirse hace unos cuatro años e integran el chip TPM 2..

David Weston, director de seguridad del sistema operativo y empresarial de Microsoft, dice que lo que ha hecho la compañía es establecer una línea de foundation de CPU para garantizar la mejor experiencia para los usuarios de Windows que va más allá de la seguridad. «Este no es un piso centrado en la seguridad», dice Weston. «Este es un piso de experiencia normal (CPU) para garantizar que Windows 11 cumpla con las expectativas». Cada procesador que tiene Microsoft listado como appropriate con Windows 11 ya tiene un chip TPM 2., dice.

Todos los sistemas certificados por Home windows desde 2015 han requerido un chip TPM, por lo que, en ese sentido, los requisitos de Microsoft para Home windows 11 no son nuevos. Sin embargo, con TPM 2., Microsoft está estableciendo una línea de foundation de seguridad más sólida para su nuevo sistema operativo. TPM 2., por ejemplo, es appropriate con Safe Hash Algorithm 2 256 (SHA-2 256), un algoritmo criptográfico mucho más sólido en comparación con el protocolo SHA-1 en los chips TPM 1.2 anteriores.

El chip TPM 2. ayudará a garantizar la seguridad respaldada por una raíz de confianza de hardware, dice Weston. Su propósito es proporcionar un espacio de almacenamiento seguro para claves de cifrado, credenciales de usuario y otros secretos para que los atacantes no puedan acceder a los datos. Las capacidades de seguridad básicas de Windows 11, como Windows Hello there para inicios de sesión sin contraseña y una función de confianza cero para identificar dispositivos Windows en servicios en la nube, dependen del módulo de plataforma confiable, dice. Además, es suitable con el núcleo Arranque seguro capacidad en Windows que garantiza que el sistema se inicie utilizando solo software program de confianza del fabricante del equipo original. «TPM puede medir los valores hash de todo el código que inicia el sistema, por lo que casi está haciendo una verificación de la cadena de suministro para garantizar que el sistema se inicie con una integridad alta», dice Weston. Este es un requisito para todas las funciones de seguridad que vienen con el sistema, como Windows Defender, dice.

Los requisitos de seguridad de hardware de línea base más altos permitirán que las características que están disponibles con Windows 11 funcionen mejor. Por ejemplo, tener un dominio de seguridad independiente basado en components en el sistema garantiza que, si el sistema se ve comprometido, los atacantes no tengan una forma de acceder a las claves y otras piezas de información. «Si almacena claves en un TPM, una herramienta de credenciales no puede deshacerse de ellas y luego moverse lateralmente», dice Weston.

Los requisitos de seguridad de hardware más altos también garantizan un mejor rendimiento, señala. Como ejemplo, señala una tecnología de Microsoft llamada Control Flow Guard, que está diseñada para mitigar las amenazas relacionadas con problemas de corrupción de la memoria. Si bien la tecnología es excelente para la seguridad, también ralentiza las cosas cuando se ejecuta solo en application. Al trabajar con Intel y AMD, Microsoft pudo trasladar las comprobaciones asociadas con Control Movement Guard directamente a la CPU, lo que ha permitido una mayor velocidad y seguridad que cuando se ejecutaba solo en computer software, dice Weston.

Los requisitos de hardware para Home windows 11 también son consistentes con el approach de Microsoft para eventualmente hacer funciones que estén disponibles con su llamado Personal computer con núcleo seguro iniciativa disponible para más usuarios de Windows. Los sistemas de núcleo seguro son dispositivos diseñados para su uso en sectores de infraestructura crítica como servicios financieros, gobierno y atención médica. Los sistemas cuentan con ciertos requisitos mínimos de seguridad de hardware que están diseñados para proteger contra ataques de firmware dirigidos. Los sistemas también tienen varias tecnologías de seguridad habilitadas de forma predeterminada, como el cifrado BitLocker, Defender Process Guard y Windows Hello there. Según Weston, los datos que Microsoft ha recopilado han demostrado que estos dispositivos son dos veces más resistentes a los ataques de malware que las Computer system normales. Los nuevos requisitos de hardware traen muchas de estas características a los usuarios principales de Windows 11, dice Weston.

«Hemos dedicado mucho tiempo a no crear funciones de casilla de verificación, sino a observar realmente el panorama de las amenazas y cómo han cambiado las cosas en los últimos 18 meses», dice. «Hemos creado una historia de seguridad que protegería a todos nuestros usuarios (de nuevas amenazas) sin afectar su productividad o experiencia».



Enlace a la noticia original