Windows 11: comprensión de los requisitos del sistema y los beneficios de seguridad


La seguridad es una parte importante de Windows 11, pero también lo es brindar productividad y una buena experiencia con todas las funciones de seguridad activadas.

windows-11-logo.jpg

Imagen: Microsoft

Los requisitos de hardware para Windows 11 han causado cierta confusión y controversia. La especificación mínima se trata de obtener las compensaciones correctas entre seguridad, confiabilidad, compatibilidad y rendimiento para brindar una buena experiencia de Windows, y muchas empresas estarán listas para Windows 11.

La Requerimientos mínimos del sistema de procesadores de doble núcleo de 1 GHz o más rápidos, 4 GB de RAM y 64 GB de almacenamiento son lo que Microsoft Office y Teams ya especifican.

TPM 2.0 ha sido un requisito para todas las nuevas PC con Windows desde el 28 de julio de 2016 (2018 en China), con las únicas excepciones de los sistemas comerciales para fines especiales y los pedidos personalizados. Aunque por lo general se lo considera un almacenamiento para las claves de BitLocker (y el cifrado de dispositivo equivalente en Windows Home), el Módulo de plataforma confiable ofrece una amplia gama de características de seguridad de Windows: almacenamiento de otras claves y los PIN para la biometría de Windows Hello y Credential Guard; bloquear los ataques de diccionario de fuerza bruta para que los PIN y las contraseñas más cortos sean más seguros; alimentar tarjetas inteligentes virtuales; actuar como la raíz de confianza del hardware para un arranque seguro y medido; dar fe de la salud de la PC después del arranque con Windows Defender System Guard; y habilitación de implementaciones de piloto automático de "guante blanco" y autoservicio.

tr-microsoft-david-weston.jpg "src =" https://www.techrepublic.com/a/hub/i/r/2020/11/18/ac6a76e6-cdfe-477c-8318-712379f8e41a/resize/370x /9d84297332cff694d6e34f38e8e931c2/tr-microsoft-david-weston.jpg

David Weston de Microsoft: "Realmente queremos centrarnos no en crear nueva tecnología de seguridad, sino en activar la tecnología de seguridad que tenemos, que creo que ya es bastante importante".

Imagen: Microsoft

Mientras que la documentación oficial sugiere que un TPM es opcional para algunas de esas características, "para ser honesto, no recomendaría que sea opcional", dijo a TechRepublic David Weston, socio director de seguridad empresarial y de SO de Microsoft. "Sin un TPM, no vas a tener segmentación, que es lo que queremos".

De hecho, la reacción a los requisitos de Windows 11 sugiere que muchas PC tienen TPM que no se han habilitado, por lo que incluso una protección exigida hace cinco años puede no estar en su lugar. Los administradores que esperan actualizar a una nueva versión de Windows Server pueden aprovechar esto como una oportunidad para auditar el hardware de su servidor, porque los TPM se han recomendado desde Windows Server 2016 y serán necesarios para Windows Server 2022, pero no siempre están presentes.

Para ejecutar Windows 11, las CPU deben tener las características de virtualización de hardware para habilitar el modo seguro virtual para la seguridad basada en virtualización y la integridad del código protegido por hipervisor que subyace a una gama de protecciones que Microsoft ha estado construyendo desde Windows 8, como Application Guard, Control. Flow Guard, Credential Guard, Device Guard y System Guard. Ahora estarán activados de forma predeterminada para todas las PC, no solo para los dispositivos especialmente seleccionados.

También necesitan tener controladores basados ​​en el nuevo Controladores de Windows modelo; A principios de este año, Microsoft anunció que los controladores para lo que entonces se llamaba Windows 10X tendrían que estar certificados a través del Programa de compatibilidad de hardware de Windows y estar en componentes, escrito para aislamiento y usar un subconjunto aprobado de API de Windows, para hacerlas más estables y fáciles de actualizar.

La amplitud y variedad del ecosistema de PC hace que la especificación sea más complicada de lo que cree. Las CPU Intel de octava generación, AMD Zen 2 y Qualcomm 7 y 8 Series tienen las características de hardware adecuadas para seguridad, confiabilidad y rendimiento; también cuentan con pleno apoyo. Si bien las CPUs de séptima generación y AMD Zen tienen las características de hardware, tienen lo que Microsoft nos describió como 'soporte limitado', por lo que una de las cosas que mostrarán las versiones de Windows Insider de Windows 11 es exactamente cuál de esos procesadores anteriores ofrecerá una buena suficiente experiencia para ser apoyado. Y el Snapdragon 835 que activó los primeros dispositivos Windows on Arm no es compatible en absoluto.

No mas guardias

La seguridad no es su única razón de ser, pero Windows 11 está destinado a "elevar la línea de base de seguridad", aprovechando las diversas funciones de 'protección' que ya están en Windows pero que rara vez se activan.

El objetivo es facilitar la seguridad, asegurarse de que no afecte el rendimiento o la duración de la batería, y facilitar que las organizaciones pasen a enfoques sin contraseña y de "confianza cero", dijo Weston a TechRepublic.

"Le digo a mi equipo 'no más guardias'; realmente queremos enfocarnos no en construir nueva tecnología de seguridad, sino en activar la tecnología de seguridad que tenemos, que creo que ya es bastante sustancial".

"La seguridad basada en la virtualización está activada de forma predeterminada. Obviamente, el TPM está ahí, por lo que nos dará la capacidad de usar BitLocker en Windows Hello en escenarios más predeterminados. Eso permitirá que las empresas comerciales tengan confianza cero y aprovechen las cosas como System Guard. Hay mucho valor de seguridad listo para usar. Quiero que las personas abran su computadora portátil y sientan que están mucho mejor protegidas, y sabemos que lo estarán, basándonos en analizar la inteligencia de amenazas frente a la por defecto cambiamos ".

"Si nos fijamos en los principales ataques que existen, ya sea ransomware o phishing, hemos atacado directamente para mitigarlos, o al menos hacerlos mucho, mucho mejor protegidos en Windows 11", afirmó Weston.

"Para las personas que tienen la tarea de administrar, deben hacer que su implementación sea lo más simple posible. Y creo que lo hemos hecho al decir que las cosas que son más críticas están ahí y habilitadas de manera predeterminada. Muchos de los profesionales de seguridad en las organizaciones están atrapados entre detectar y responder, y luego modificar y trabajar con la gente de administración de configuración para activar más seguridad. Si pudiéramos hacer ese trabajo un poco más fácil, creo que veríamos empresas comerciales más seguras, y eso es un gran tema para Windows 11. "

VER: 83 consejos de Excel que todo usuario debería dominar (TechRepublic)

Windows Hello para empresas reemplaza el nombre de usuario y la contraseña familiares con una autenticación de usuario sólida mediante pares de claves criptográficas asimétricas (almacenadas en el TPM) y Windows 11 mejora la forma en que confianza clave La relación funciona con Active Directory y Azure AD. "Las personas que usaban certificados o tarjetas inteligentes, que son bastante importantes, pueden realizar una transición muy rápida a Windows Hello para empresas, lo que significa que pueden llegar rápidamente a una buena estrategia sin contraseña", dijo Weston. "Ese fue uno de los mayores bloqueadores para la adopción sin contraseña en las corporaciones; lo tenemos".

La confianza cero no siempre está claramente definida, y Weston está dispuesto a simplificar la idea para las organizaciones, señalando que es un enfoque que muchos ya están adoptando, como pasar de la directiva de grupo a MDM para dispositivos (y Windows 11 agrega muchas nuevas políticas de MDM a ayúdelos a alejarse de la administración de dispositivos heredados).

"Creo que lo que la mayoría de nuestros clientes buscan es una combinación de pruebas de identidad adicionales y algo de información sobre el riesgo del dispositivo y combinarlos para tomar una decisión informada sobre la nube", dijo Weston. "Lo que Windows 11 hace por ese estilo de confianza cero es que, si tiene un MDM, por supuesto que nos encanta Intune y el acceso condicional, puede recopilar, del hardware, información de muy alta integridad sobre el riesgo del dispositivo y puede combinar eso con la información de identidad de su proveedor de identidad; por supuesto, nos gusta Azure Active Directory para eso. Y esas dos señales le brindan mucha seguridad adicional sobre el enfoque perimetral tradicional. Está obteniendo la información correcta para hacer el decisión correcta, y se está asegurando de que se pueda confiar en esa información, por lo que se captura del hardware, porque de lo contrario, está recopilando información que podría ser manipulada por un atacante ".

Windows 11 tendrá otras mejoras de seguridad de las que Microsoft aún no está listo para hablar, que podrían incluir los contenedores de aplicaciones originalmente prometidos para 10X. "Tenemos algunas ideas realmente interesantes sobre cómo mejorar la seguridad de las aplicaciones de la línea principal", dijo Weston.

Pero más allá de la seguridad, una de las características que más entusiasman a Weston es la forma en que las actualizaciones de Windows son entre un 40 y un 50% más rápidas de instalar (gracias a que solo ofrecen deltas de archivos y una compresión aún más agresiva que los modelos de actualización anteriores ". build (de Windows), todos los días sonrío y digo 'eso fue tan rápido', es realmente notable ".

Entendiendo el 'piso de la CPU'

El simple hecho de activar las funciones de seguridad existentes basadas en hardware reduce las infecciones de malware en un 60%, pero las preocupaciones de compatibilidad y rendimiento han significado que solo unas pocas PC las hayan enviado de forma predeterminada.

"Esto es algo fundamental muy, muy importante. Si no tienes esa base sobre la que construir, estarás en modo reactivo por el resto de la existencia", señaló Weston. "Windows 11 está comenzando con una base increíblemente sólida".

Si bien solo las PC nuevas que se enviarán a finales de este año vendrán con el procesador de seguridad Pluton diseñado por Microsoft, las CPU de Tiger Lake tienen la tecnología Control-flow Enforcement para ayudar a Control Flow Guard a bloquear los ataques ROP (y hay un equivalente de AMD).

Los procesadores de octava generación también incluyen funciones que mejoran el rendimiento de HVCI: control de ejecución basado en modo de Intel para EPT (MBEC), trampa de ejecución en modo invitado de AMD para NPT (GMET) y tabla de traducción de ARM, etapa 2, ejecución sin privilegios, nunca ( TTS2UXN). Los procesadores más antiguos tienen que depender de una emulación de modo de usuario restringido más lenta y con menos consumo de energía, que es una de las razones de los requisitos de CPU en Windows 11.

"Muchos de los cambios arquitectónicos en la CPU han permitido que el software deje de ser el intermediario entre el hipervisor y el hardware", explicó Weston. "Cosas que solían llevar más tiempo porque el sistema operativo tenía que decir: 'Tengo que acercarme al hardware'. Nos salimos del camino. De modo que ves aumentos sustanciales del rendimiento con la virtualización en Windows 11, debido a el 'piso' del hardware y, como resultado, verá una extensión sustancial de la vida útil de la batería. Es una experiencia mucho mejor con la virtualización ".

Eso es importante para características como Windows Defender Application Guard, Windows Sandbox, WSL 2 y la forma en que Hyper-V ahora funciona con software de virtualización de terceros. También será lo que impulse las aplicaciones de Android virtualizadas que se ejecutarán en Windows 11.

Esa combinación de seguridad, rendimiento y duración de la batería explica lo que de otro modo podría parecer opciones arbitrarias de CPU, explicó Weston.

"Observamos una mediana que pensamos que estaba bien en el rango objetivo de personas que van a adoptar Windows 11, y luego analizamos el rendimiento y la confiabilidad y qué funciones están disponibles: la virtualización necesaria para las aplicaciones de Android, qué controladores son disponible, características de seguridad y seguridad eficiente … todo eso fue un factor en la decisión ".

"Este fue un enfoque en asegurarnos de que Windows 11 cumpliera con las expectativas. Este es un nuevo Windows rejuvenecido, la experiencia es increíble. Y es por eso que viste un pequeño golpe en la RAM, un pequeño golpe en el SSD, un pequeño golpe en la CPU, porque todas esas cosas aprovechan lo que nuestro ecosistema de silicio ha estado produciendo durante los últimos cinco años, lo cual es bastante fantástico. Y cuando tienes competencia que realmente está subiendo el listón, quieres para asegurarnos de que sepa que nuestra experiencia en el ecosistema de PC puede coincidir con cualquier otro ecosistema ".

VER: Lista de comprobación: protección de los sistemas Windows 10 (TechRepublic Premium)

Microsoft utilizó mucha telemetría, pero también habló con clientes comerciales sobre el hardware de su PC y los planes de actualización, donde los cuatro a cinco años de hardware de PC en los que se ejecutará Windows 11 son un ciclo de actualización típico.

"Pasamos mucho tiempo con empresas de diferentes categorías y los comentarios que obtuvimos es que, para la gran mayoría de las empresas con las que hablamos, esto va a funcionar bien. La otra realidad es que, a pesar de que la seguridad es el principal impulsor de Windows 10 y la transición de Windows 7 a 10 ocurre relativamente rápido, habrá algunas personas que simplemente no van a hacer ese movimiento rápidamente. Por lo tanto, creemos que este es un buen equilibrio entre las personas que están listas para pasar a Windows 11 y las personas que necesitan más tiempo pero quieren estar seguros y apoyados ".

Las iniciativas de seguridad empresarial comunes, como los enfoques sin contraseña y de confianza cero que Windows 11 admite de forma nativa, atraerán a muchas empresas, espera Weston; para otros, el ciclo de vida del soporte de Windows 10 coincide con la escala de tiempo para comprar nuevas PC.

"Las personas que tienen el hardware disponible y desean estos aumentos sustanciales de seguridad, creemos que se cambiarán a Windows 11 incluso más rápido que la transición de 7 a 10, porque la seguridad es aún más importante ahora. Y ciertamente habrá otro conjunto de las personas que necesitan más tiempo para actualizar el hardware o simplemente prepararse. Y continuaremos enviando actualizaciones y enviando cosas nuevas e interesantes a Windows 10 para mantenerlas seguras y viables ".

Para aquellos decepcionados por los requisitos de hardware, Weston señala que está brindando una buena experiencia de Windows. "No es que estemos tratando de ponérselo difícil a las personas que tienen una configuración no admitida. El objetivo es decir, 'seamos muy claros sobre dónde está la mejor experiencia y dónde sugiere Microsoft que realmente vayas para tener una buena experiencia' '. '. "

La amplitud del ecosistema de PC permite una amplia gama de dispositivos. "Estamos lo suficientemente abiertos para permitir que la gente haga realmente lo que quiere hacer. Al mismo tiempo, debemos ser claros y decir 'esto es lo que pretendíamos', y esas dos cosas no son mutuamente excluyentes".

Toda la discusión sobre los TPM y las capacidades de la CPU es solo un recordatorio del interés que hay en Windows, señaló Weston. "De hecho, estoy emocionado por la cantidad de personas que solo preguntan sobre Windows 11 y ven el nivel de energía. Las personas son apasionadas, lo quieren y lo quieren de la forma en que lo disfrutan, y yo les apoyo mucho. de eso."

Ver también



Enlace a la noticia original