Funciones de seguridad y protección nuevas en Windows Vista

Artículo de resumen

Hay una serie de características de seguridad y protección nuevas en Windows Vista , la mayoría de las cuales no están disponibles en ninguna versión anterior del sistema operativo Microsoft Windows .

A principios de 2002, cuando Microsoft anunció su iniciativa Trustworthy Computing , se ha trabajado mucho para convertir Windows Vista en un sistema operativo más seguro que sus predecesores. A nivel interno, Microsoft adoptó un " ciclo de vida de desarrollo de seguridad " [1] con el lema subyacente de "seguro por diseño, seguro por defecto, seguro en la implementación". El nuevo código para Windows Vista se desarrolló con la metodología SDL, y todo el código existente se revisó y refactorizó para mejorar la seguridad.

Algunas áreas específicas en las que Windows Vista introduce nuevos mecanismos de seguridad y protección incluyen el Control de cuentas de usuario, controles parentales, Protección de acceso a la red , una herramienta anti- malware incorporada y nuevos mecanismos de protección de contenido digital.

Control de cuentas de usuario

El Control de cuentas de usuario es una nueva infraestructura que requiere el consentimiento del usuario antes de permitir cualquier acción que requiera privilegios administrativos. Con esta característica, todos los usuarios, incluidos los usuarios con privilegios administrativos, se ejecutan en un modo de usuario estándar de forma predeterminada, ya que la mayoría de las aplicaciones no requieren privilegios superiores. Cuando se intenta alguna acción que necesita privilegios administrativos, como instalar un nuevo software o cambiar la configuración del sistema o de seguridad, Windows le preguntará al usuario si desea permitir la acción o no. Si el usuario elige permitir, el proceso que inicia la acción se eleva a un contexto de privilegios superior para continuar. Mientras que los usuarios estándar deben ingresar un nombre de usuario y una contraseña de una cuenta administrativa para obtener un proceso elevado ( Credenciales sobre el hombro ), un administrador puede elegir que se le solicite solo el consentimiento o solicitar credenciales. Si el usuario no hace clic en Sí, después de 30 segundos se deniega la solicitud.

El UAC solicita credenciales en un modo de escritorio seguro , donde toda la pantalla se atenúa y se desactiva temporalmente, para presentar solo la interfaz de usuario de elevación. Esto es para evitar que la aplicación que solicita la elevación falsifique la interfaz de usuario o el mouse. Si la aplicación que solicita la elevación no tiene el foco antes de que se produzca el cambio a escritorio seguro , entonces su icono de la barra de tareas parpadea y, cuando está enfocado, se presenta la interfaz de usuario de elevación (sin embargo, no es posible evitar que una aplicación maliciosa obtenga el foco de manera silenciosa).

Dado que el Escritorio seguro solo permite ejecutar aplicaciones del sistema con privilegios más altos, ninguna aplicación en modo de usuario puede presentar sus cuadros de diálogo en ese escritorio, por lo que se puede asumir con seguridad que cualquier solicitud de consentimiento de elevación es genuina. Además, esto también puede ayudar a proteger contra ataques Shatter , que interceptan mensajes entre procesos de Windows para ejecutar código malicioso o falsificar la interfaz de usuario, al evitar que procesos no autorizados envíen mensajes a procesos con privilegios altos. Cualquier proceso que desee enviar un mensaje a un proceso con privilegios altos debe elevarse al contexto de privilegios más alto, a través de UAC.

Las aplicaciones escritas con la suposición de que el usuario se ejecutará con privilegios de administrador experimentaron problemas en versiones anteriores de Windows cuando se ejecutaron desde cuentas de usuario limitadas, a menudo porque intentaron escribir en directorios de todo el equipo o del sistema (como Archivos de programa ) o claves de registro (en particular HKLM ) [2] UAC intenta aliviar esto utilizando la virtualización de archivos y registro , que redirige las escrituras (y las lecturas posteriores) a una ubicación por usuario dentro del perfil del usuario. Por ejemplo, si una aplicación intenta escribir en "C:\program files\appname\settings.ini" y el usuario no tiene permisos para escribir en ese directorio, la escritura se redirigirá a "C:\Users\username\AppData\Local\VirtualStore\Program Files\appname\".

Encriptación

BitLocker, anteriormente conocido como "Inicio seguro", esta función ofrece cifrado de disco completo para el volumen del sistema. Mediante la utilidad de línea de comandos, es posible cifrar volúmenes adicionales. Bitlocker utiliza una memoria USB o un módulo de plataforma segura (TPM) versión 1.2 de las especificaciones TCG para almacenar su clave de cifrado. Garantiza que el equipo que ejecuta Windows Vista se inicie en un estado correcto y también protege los datos contra el acceso no autorizado. [3] Los datos del volumen se cifran con una clave de cifrado de volumen completo (FVEK), que a su vez se cifra con una clave maestra de volumen (VMK) y se almacena en el propio disco.

Windows Vista es el primer sistema operativo Microsoft Windows que ofrece soporte nativo para TPM 1.2 al proporcionar un conjunto de API, comandos, clases y servicios para el uso y la gestión del TPM. [4] [5] Un nuevo servicio del sistema, denominado Servicios básicos de TPM, permite el acceso y el uso compartido de recursos de TPM para desarrolladores que deseen crear aplicaciones con soporte para el dispositivo. [6]

El sistema de cifrado de archivos (EFS) de Windows Vista se puede utilizar para cifrar el archivo de paginación del sistema y la caché de archivos sin conexión de cada usuario . EFS también está más estrechamente integrado con la infraestructura de clave pública (PKI) empresarial y admite el uso de la recuperación de claves basada en PKI, la recuperación de datos mediante certificados de recuperación de EFS o una combinación de ambas. También hay nuevas políticas de grupo que exigen tarjetas inteligentes para EFS, exigen el cifrado de archivos de paginación, estipulan longitudes de clave mínimas para EFS, exigen el cifrado de la carpeta Documentos del usuario y prohíben los certificados autofirmados. La caché de claves de cifrado de EFS se puede borrar cuando un usuario bloquea su estación de trabajo o después de un cierto límite de tiempo.

El asistente de renovación de claves de EFS permite al usuario elegir un certificado para EFS y seleccionar y migrar los archivos existentes que utilizarán el certificado recién elegido. El Administrador de certificados también permite a los usuarios exportar sus certificados de recuperación de EFS y sus claves privadas. Se les recuerda a los usuarios que realicen una copia de seguridad de sus claves de EFS la primera vez que las utilicen mediante una notificación en globo . El asistente de renovación de claves también se puede utilizar para migrar usuarios en instalaciones existentes de certificados de software a tarjetas inteligentes . El asistente también puede ser utilizado por un administrador o por los propios usuarios en situaciones de recuperación. Este método es más eficiente que descifrar y volver a cifrar archivos.

Firewall de Windows

Windows Vista mejora significativamente el firewall [7] para abordar una serie de preocupaciones en torno a la flexibilidad del Firewall de Windows en un entorno corporativo:

  • Filtrado de conexión IPv6
  • Filtrado de paquetes salientes, lo que refleja las crecientes preocupaciones acerca del spyware y los virus que intentan "llamar a casa".
  • Con el filtro de paquetes avanzado, también se pueden especificar reglas para direcciones IP de origen y destino y rangos de puertos.
  • Se pueden configurar reglas para los servicios mediante su nombre de servicio elegido de una lista, sin necesidad de especificar la ruta completa del nombre del archivo.
  • IPsec está completamente integrado, lo que permite permitir o denegar conexiones en función de certificados de seguridad, autenticación Kerberos , etc. También puede requerirse cifrado para cualquier tipo de conexión. Se puede crear una regla de seguridad de conexión mediante un asistente que se encarga de la configuración compleja de políticas IPsec en la máquina. El Firewall de Windows puede permitir el tráfico en función de si el tráfico está protegido por IPsec.
  • Un nuevo complemento de consola de administración llamado Firewall de Windows con seguridad avanzada que brinda acceso a muchas opciones avanzadas, incluida la configuración de IPsec , y permite la administración remota.
  • Capacidad de tener perfiles de firewall independientes para cuando los equipos están unidos a un dominio o conectados a una red privada o pública. Compatibilidad con la creación de reglas para aplicar políticas de aislamiento de servidores y dominios.

Windows Defender

Windows Vista incluye Windows Defender, la utilidad anti-spyware de Microsoft. Según Microsoft, se le cambió el nombre a "Microsoft AntiSpyware" porque no solo incluye un análisis del sistema en busca de spyware, similar a otros productos gratuitos del mercado, sino que también incluye agentes de seguridad en tiempo real que monitorean varias áreas comunes de Windows en busca de cambios que puedan ser causados ​​por spyware. Estas áreas incluyen la configuración y descargas de Internet Explorer, aplicaciones de inicio automático, opciones de configuración del sistema y complementos para Windows, como extensiones de Windows Shell.

Windows Defender también incluye la posibilidad de eliminar aplicaciones ActiveX instaladas y bloquear programas de inicio. También incorpora la red SpyNet , que permite a los usuarios comunicarse con Microsoft, enviar lo que consideren software espía y comprobar qué aplicaciones son aceptables.

Control de instalación de dispositivos

Windows Vista permite a los administradores aplicar restricciones de hardware a través de la Política de grupo para evitar que los usuarios instalen dispositivos, restringir la instalación de dispositivos a una lista blanca predefinida o restringir el acceso a medios extraíbles y clases de dispositivos. [8] [9]

Controles parentales

Controles parentales de Windows Vista que muestran funciones para restringir una cuenta de usuario estándar de Danielle

Windows Vista incluye una serie de controles parentales para que los administradores supervisen y restrinjan la actividad informática de las cuentas de usuario estándar que no forman parte de un dominio ; el Control de cuentas de usuario aplica restricciones administrativas. Las características incluyen: Filtro web de Windows Vista , implementado como un filtro Winsock LSP para funcionar en todos los navegadores web, que prohíbe el acceso a sitios web en función de categorías de contenido o direcciones específicas (con una opción para bloquear todas las descargas de archivos); Límites de tiempo , que impide que los usuarios estándar inicien sesión durante una fecha u hora especificadas por un administrador (y que bloquea las cuentas restringidas que ya hayan iniciado sesión durante esos momentos); Restricciones de juegos , que permite a los administradores bloquear juegos en función de nombres, contenidos o clasificaciones definidas por un sistema de clasificación de contenido de videojuegos como la Junta de clasificación de software de entretenimiento (ESRB) , con restricciones de contenido que tienen prioridad sobre las restricciones de clasificación (por ejemplo, se puede permitir que se ejecuten juegos Everyone 10+ (E10+) en general, pero los juegos E10+ con lenguaje moderado seguirán bloqueados si el lenguaje moderado en sí está bloqueado); Restricciones de aplicaciones , que utiliza listas blancas de aplicaciones para aplicaciones específicas; e Informes de actividad , que supervisan y registran las actividades de cuentas de usuarios estándar restringidas.

Los controles parentales de Windows incluyen un conjunto extensible de opciones, con interfaces de programación de aplicaciones (API) para que los desarrolladores reemplacen las funciones incluidas con las suyas propias.

Funcionalidad de protección contra exploits

Windows Vista utiliza la aleatorización del diseño del espacio de direcciones (ASLR) para cargar los archivos del sistema en direcciones aleatorias de la memoria. [10] De forma predeterminada, todos los archivos del sistema se cargan aleatoriamente en cualquiera de las 256 ubicaciones posibles. Otros ejecutables tienen que configurar específicamente un bit en el encabezado del archivo Portable Executable (PE) , que es el formato de archivo de los ejecutables de Windows, para utilizar ASLR. Para dichos ejecutables, la pila y el montón asignados se deciden aleatoriamente. Al cargar los archivos del sistema en direcciones aleatorias, se vuelve más difícil para el código malicioso saber dónde se encuentran las funciones privilegiadas del sistema, lo que hace improbable que las utilicen de forma predecible. Esto ayuda a prevenir la mayoría de los ataques de ejecución remota al evitar los ataques de desbordamiento de búfer de retorno a LIBC .

El formato ejecutable portátil se ha actualizado para admitir la incorporación de la dirección del controlador de excepciones en el encabezado. Siempre que se lanza una excepción, la dirección del controlador se verifica con la que está almacenada en el encabezado del ejecutable. Si coinciden, se maneja la excepción; de lo contrario, indica que la pila de tiempo de ejecución se ha visto comprometida y, por lo tanto, el proceso finaliza.

Los punteros de función se ofuscan mediante la operación XOR con un número aleatorio, de modo que la dirección real a la que apunta es difícil de recuperar. Lo mismo sucedería si se cambiara manualmente un puntero, ya que la clave de ofuscación utilizada para el puntero sería muy difícil de recuperar. Por lo tanto, se dificulta que cualquier usuario no autorizado del puntero de función pueda usarlo realmente. También se realizan operaciones XOR con los metadatos de los bloques del montón con números aleatorios. Además, se mantienen las sumas de comprobación de los bloques del montón, que se utilizan para detectar cambios no autorizados y corrupción del montón. Siempre que se detecta una corrupción del montón, se elimina la aplicación para evitar que se complete con éxito el exploit.

Los binarios de Windows Vista incluyen soporte intrínseco para la detección de desbordamientos de pila. Cuando se detecta un desbordamiento de pila en los binarios de Windows Vista, el proceso se elimina para que no pueda usarse para llevar a cabo el exploit. Además, los binarios de Windows Vista colocan los búferes en una zona superior de la memoria y los elementos que no son búferes, como los punteros y los parámetros suministrados, en una zona inferior de la memoria. Por lo tanto, para explotar realmente, se necesita un desbordamiento de búfer para obtener acceso a esas ubicaciones. Sin embargo, los desbordamientos de búfer son mucho menos comunes que los desbordamientos de búfer.

Aislamiento de aplicaciones

Windows Vista presenta el Control de integridad obligatorio para establecer niveles de integridad para los procesos. Un proceso de baja integridad no puede acceder a los recursos de un proceso de mayor integridad. Esta característica se utiliza para aplicar el aislamiento de aplicaciones, donde las aplicaciones con un nivel de integridad medio, como todas las aplicaciones que se ejecutan en el contexto de usuario estándar, no pueden conectarse a procesos de nivel de sistema que se ejecutan en un nivel de integridad alto, como aplicaciones en modo administrador, pero pueden conectarse a procesos de menor integridad, como Windows Internet Explorer 7 u 8. Un proceso con menos privilegios no puede realizar una validación de identificador de ventana de un privilegio de proceso superior, no puede enviar mensajes ni enviar mensajes a ventanas de aplicaciones con privilegios superiores, no puede utilizar ganchos de subprocesos para conectarse a un proceso con privilegios superiores, no puede utilizar ganchos de diario para supervisar un proceso con privilegios superiores y no puede realizar una inyección de DLL a un proceso con privilegios superiores.

Prevención de ejecución de datos

Windows Vista ofrece soporte completo para la característica NX (No-Execute) de los procesadores modernos. [11] DEP se introdujo en Windows XP Service Pack 2 y Windows Server 2003 Service Pack 1. Esta característica, presente como NX (EVP) en los procesadores AMD64 de AMD y como XD (EDB) en los procesadores Intel , puede marcar ciertas partes de la memoria como que contienen datos en lugar de código ejecutable, lo que evita que los errores de desbordamiento resulten en la ejecución de código arbitrario.

Si el procesador admite el bit NX, Windows Vista aplica automáticamente la prevención de ejecución de datos basada en hardware en todos los procesos para marcar algunas páginas de memoria como segmentos de datos no ejecutables (como el montón y la pila) y, posteriormente, se evita que los datos se interpreten y ejecuten como código. Esto evita que el código de explotación se inyecte como datos y luego se ejecute.

Si DEP está habilitado para todas las aplicaciones , los usuarios obtienen resistencia adicional contra exploits de día cero . Pero no todas las aplicaciones son compatibles con DEP y algunas generarán excepciones DEP. Por lo tanto, DEP no se aplica para todas las aplicaciones de forma predeterminada en las versiones de 32 bits de Windows y solo se activa para componentes críticos del sistema. Sin embargo, Windows Vista presenta controles de política NX adicionales que permiten a los desarrolladores de software habilitar la protección de hardware NX para su código, independientemente de la configuración de aplicación de compatibilidad de todo el sistema. Los desarrolladores pueden marcar sus aplicaciones como compatibles con NX cuando se crean, lo que permite que se aplique la protección cuando esa aplicación se instala y se ejecuta. Esto permite un mayor porcentaje de código protegido por NX en el ecosistema de software en plataformas de 32 bits, donde la política de compatibilidad del sistema predeterminada para NX está configurada para proteger solo los componentes del sistema operativo. Para las aplicaciones x86-64, la compatibilidad con versiones anteriores no es un problema y, por lo tanto, DEP se aplica de forma predeterminada para todos los programas de 64 bits. Además, en las versiones x86-64 de Windows Vista solo se utiliza DEP aplicado por el procesador para mayor seguridad.

Gestión de derechos digitales

En Windows Vista se han introducido nuevas funciones de gestión de derechos digitales y protección de contenidos para ayudar a los proveedores de contenidos digitales y a las corporaciones a proteger sus datos contra copias.

  • PUMA: Protected User Mode Audio (PUMA) es la nueva pila de audio de User Mode Audio (UMA). Su objetivo es proporcionar un entorno para la reproducción de audio que restrinja la copia de audio protegido por derechos de autor y restrinja las salidas de audio habilitadas a aquellas permitidas por el editor del contenido protegido. [12]
  • Protected Video Path - Output Protection Management (PVP-OPM) es una tecnología que impide la copia de secuencias de vídeo digitales protegidas o su visualización en dispositivos de vídeo que no cuentan con una protección equivalente contra copias (normalmente HDCP ). Microsoft afirma que, sin estas restricciones, la industria de contenidos puede impedir que los ordenadores reproduzcan contenidos protegidos por derechos de autor al negarse a emitir claves de licencia para el cifrado utilizado por HD DVD, Blu-ray Disc u otros sistemas protegidos contra copias. [12]
  • Ruta de video protegida - Bus accesible para el usuario (PVP-UAB) es similar a PVP-OPM, excepto que aplica cifrado de contenido protegido a través del bus PCI Express .
  • Soporte de Servicios de Gestión de Derechos (RMS), una tecnología que permitirá a las corporaciones aplicar restricciones similares a DRM a documentos corporativos, correo electrónico e intranets para protegerlos de ser copiados, impresos o incluso abiertos por personas no autorizadas para hacerlo.
  • Windows Vista introduce un proceso protegido [13], que se diferencia de los procesos habituales en el sentido de que otros procesos no pueden manipular el estado de dicho proceso, ni se pueden introducir en él hilos de otros procesos. Un proceso protegido tiene un acceso mejorado a las funciones DRM de Windows Vista. Sin embargo, actualmente, solo las aplicaciones que utilizan la ruta de vídeo protegida pueden crear procesos protegidos.

La inclusión de nuevas funciones de gestión de derechos digitales ha sido fuente de críticas a Windows Vista .

Fortalecimiento de servicios de Windows

Windows Service Hardening compartimenta los servicios de tal manera que si un servicio se ve comprometido, no puede atacar fácilmente a otros servicios en el sistema. Impide que los servicios de Windows realicen operaciones en sistemas de archivos, registros o redes [14] que no deberían hacer, reduciendo así la superficie de ataque general en el sistema y evitando la entrada de malware mediante la explotación de los servicios del sistema . A los servicios ahora se les asigna un identificador de seguridad (SID) por servicio , que permite controlar el acceso al servicio según el acceso especificado por el identificador de seguridad. Se puede asignar un SID por servicio durante la instalación del servicio a través de la API ChangeServiceConfig2 o usando el SC.EXEcomando con el verbo sidtype . Los servicios también pueden usar listas de control de acceso (ACL) para evitar el acceso externo a recursos privados para ellos.

Los servicios en Windows Vista también se ejecutan en una cuenta con menos privilegios, como Servicio local o Servicio de red , en lugar de la cuenta del sistema . Las versiones anteriores de Windows ejecutaban los servicios del sistema en la misma sesión de inicio de sesión que el usuario conectado localmente (Sesión 0). En Windows Vista, la Sesión 0 ahora está reservada para estos servicios y todos los inicios de sesión interactivos se realizan en otras sesiones. [15] Esto tiene como objetivo ayudar a mitigar una clase de vulnerabilidades del sistema de paso de mensajes de Windows, conocidas como ataques Shatter . El proceso que aloja un servicio solo tiene los privilegios especificados en el valor de registro RequiredPrivileges en HKLM\System\CurrentControlSet\Services .

Los servicios también necesitan permisos de escritura explícitos para escribir en los recursos, en función de cada servicio. Al utilizar un token de acceso restringido a escritura , solo se otorga acceso de escritura a los recursos que deben ser modificados por un servicio, por lo que intentar modificar cualquier otro recurso falla. Los servicios también tendrán una política de firewall preconfigurada, que le otorga solo los privilegios necesarios para que funcione correctamente. Los proveedores de software independientes también pueden utilizar Windows Service Hardening para reforzar sus propios servicios. Windows Vista también refuerza las canalizaciones con nombre que utilizan los servidores RPC para evitar que otros procesos puedan secuestrarlas.

Autenticación e inicio de sesión

La identificación y autenticación gráfica ( GINA ), utilizada para la autenticación segura y el inicio de sesión interactivo, ha sido reemplazada por los proveedores de credenciales . Combinados con hardware de soporte, los proveedores de credenciales pueden extender el sistema operativo para permitir que los usuarios inicien sesión a través de dispositivos biométricos (huella dactilar, retina o reconocimiento de voz), contraseñas, PIN y certificados de tarjeta inteligente , o cualquier paquete de autenticación personalizado y esquema que los desarrolladores externos deseen crear. La autenticación con tarjeta inteligente es flexible ya que los requisitos de certificado se relajan. Las empresas pueden desarrollar, implementar y, opcionalmente, aplicar mecanismos de autenticación personalizados para todos los usuarios del dominio. Los proveedores de credenciales pueden estar diseñados para admitir el inicio de sesión único (SSO), autenticando a los usuarios en un punto de acceso de red seguro (aprovechando RADIUS y otras tecnologías), así como el inicio de sesión de la máquina. Los proveedores de credenciales también están diseñados para admitir la recopilación de credenciales específicas de la aplicación y pueden usarse para la autenticación de recursos de red, unir máquinas a un dominio o proporcionar el consentimiento del administrador para el Control de cuentas de usuario . La autenticación también se admite mediante IPv6 o servicios web . El nuevo proveedor de servicios de seguridad, CredSSP, está disponible a través de la interfaz del proveedor de soporte de seguridad que permite que una aplicación delegue las credenciales del usuario del cliente (mediante el uso del SSP del lado del cliente) al servidor de destino (a través del SSP del lado del servidor). Los servicios de terminal también utilizan CredSSP para proporcionar inicio de sesión único .

Windows Vista puede autenticar cuentas de usuario mediante tarjetas inteligentes o una combinación de contraseñas y tarjetas inteligentes ( autenticación de dos factores ). Windows Vista también puede utilizar tarjetas inteligentes para almacenar claves EFS . Esto garantiza que los archivos cifrados solo sean accesibles mientras la tarjeta inteligente esté físicamente disponible. Si se utilizan tarjetas inteligentes para iniciar sesión, EFS funciona en un modo de inicio de sesión único , donde utiliza la tarjeta inteligente de inicio de sesión para cifrar archivos sin solicitar el PIN.

El cambio rápido de usuario , que estaba limitado a los equipos de grupos de trabajo en Windows XP, ahora también se puede habilitar para equipos unidos a un dominio, a partir de Windows Vista. Windows Vista también incluye compatibilidad con autenticación para los controladores de dominio de solo lectura introducidos en Windows Server 2008 .

Criptografía

Windows Vista incluye una actualización de la API de cifrado conocida como Cryptography API: Next Generation (CNG). La API CNG es una API de modo usuario y modo kernel que incluye compatibilidad con criptografía de curva elíptica (ECC) y una serie de algoritmos más nuevos que forman parte de la Suite B de la Agencia de Seguridad Nacional (NSA). Es extensible y ofrece compatibilidad para conectar API criptográficas personalizadas al entorno de ejecución de CNG. También se integra con el subsistema de tarjetas inteligentes al incluir un módulo CSP base que implementa todas las funciones criptográficas estándar de backend que necesitan los desarrolladores y fabricantes de tarjetas inteligentes, de modo que no tengan que escribir CSP complejos . La autoridad de certificación de Microsoft puede emitir certificados ECC y el cliente de certificados puede inscribir y validar certificados basados ​​en ECC y SHA-2.

Las mejoras de revocación incluyen compatibilidad nativa con el Protocolo de estado de certificados en línea (OCSP), que proporciona verificación de validez de certificados en tiempo real, precarga de CRL y diagnósticos CAPI2. La inscripción de certificados se basa en un asistente, permite a los usuarios ingresar datos durante la inscripción y brinda información clara sobre inscripciones fallidas y certificados vencidos. CertEnroll, una nueva API de inscripción basada en COM, reemplaza la biblioteca XEnroll para una programación flexible. Las capacidades de itinerancia de credenciales replican pares de claves, certificados y credenciales de Active Directory almacenados en nombres de usuario y contraseñas almacenados dentro de la red.

Protección de acceso a la red

Windows Vista presenta la Protección de acceso a la red (NAP), que garantiza que los equipos que se conectan o se comunican con una red cumplan con un nivel requerido de estado del sistema, tal como lo establece el administrador de la red. Según la política establecida por el administrador, los equipos que no cumplan con los requisitos recibirán una advertencia y se les concederá acceso, se les permitirá el acceso a recursos de red limitados o se les negará el acceso por completo. NAP también puede proporcionar opcionalmente actualizaciones de software a un equipo que no cumpla con los requisitos para que se actualice al nivel requerido para acceder a la red, utilizando un servidor de remediación . A un cliente que cumpla con los requisitos se le otorga un Certificado de estado , que luego utiliza para acceder a los recursos protegidos en la red.

Un servidor de políticas de red que ejecuta Windows Server 2008 actúa como servidor de políticas de estado y los clientes deben usar Windows XP SP3 o posterior. Un servidor VPN , un servidor RADIUS o un servidor DHCP también pueden actuar como servidor de políticas de estado.

  • Las interfaces para la seguridad TCP/IP (filtrado del tráfico del host local), el gancho de firewall, el gancho de filtro y el almacenamiento de información de filtrado de paquetes han sido reemplazadas por un nuevo marco conocido como Windows Filtering Platform (WFP). WFP proporciona capacidad de filtrado en todas las capas de la pila de protocolos TCP/IP. WFP está integrado en la pila y es más fácil para los desarrolladores crear controladores, servicios y aplicaciones que deben filtrar, analizar o modificar el tráfico TCP/IP.
  • Para proporcionar una mayor seguridad al transferir datos a través de una red, Windows Vista proporciona mejoras en los algoritmos criptográficos utilizados para ofuscar los datos. La compatibilidad con algoritmos Diffie-Hellman (DH) de curva elíptica de 256 bits y 384 bits, así como con el Estándar de cifrado avanzado (AES) de 128 bits, 192 bits y 256 bits se incluye en la propia pila de red y en el protocolo Kerberos y los mensajes GSS . La compatibilidad directa con conexiones SSL y TLS en la nueva API Winsock permite que las aplicaciones de socket controlen directamente la seguridad de su tráfico a través de una red (por ejemplo, proporcionando políticas de seguridad y requisitos para el tráfico, consultando configuraciones de seguridad) en lugar de tener que agregar código adicional para admitir una conexión segura. Los equipos que ejecutan Windows Vista pueden ser parte de redes lógicamente aisladas dentro de un dominio de Active Directory . Solo los equipos que se encuentran en la misma partición de red lógica podrán acceder a los recursos del dominio. Aunque otros sistemas puedan estar físicamente en la misma red, a menos que estén en la misma partición lógica, no podrán acceder a los recursos particionados. Un sistema puede ser parte de múltiples particiones de red. El SSP de Schannel incluye nuevos conjuntos de cifrado que admiten criptografía de curva elíptica , por lo que los conjuntos de cifrado ECC se pueden negociar como parte del protocolo de enlace TLS estándar. La interfaz de Schannel es conectable, por lo que las combinaciones avanzadas de conjuntos de cifrado pueden sustituir a un nivel superior de funcionalidad.
  • IPsec ahora está completamente integrado con el Firewall de Windows y ofrece una configuración simplificada y una autenticación mejorada. IPsec es compatible con IPv6, incluido el soporte para el intercambio de claves de Internet (IKE), AuthIP y cifrado de datos, protección de cliente a controlador de dominio , integración con la protección de acceso a la red y compatibilidad con Network Diagnostics Framework. Para aumentar la seguridad y la capacidad de implementación de las VPN IPsec , Windows Vista incluye AuthIP que extiende el protocolo criptográfico IKE para agregar funciones como autenticación con múltiples credenciales, negociación de métodos alternativos y autenticación asimétrica. [16]
  • La seguridad de las redes inalámbricas se está mejorando con un mejor soporte para estándares inalámbricos más nuevos como 802.11i ( WPA2 ). EAP Transport Layer Security (EAP-TLS) es el modo de autenticación predeterminado. Las conexiones se realizan en el nivel de conexión más seguro compatible con el punto de acceso inalámbrico. WPA2 se puede utilizar incluso en modo ad hoc. Windows Vista mejora la seguridad al unirse a un dominio a través de una red inalámbrica. Puede utilizar Single Sign On para usar las mismas credenciales para unirse a una red inalámbrica, así como el dominio alojado dentro de la red. [17] En este caso, se utiliza el mismo servidor RADIUS tanto para la autenticación PEAP para unirse a la red como para la autenticación MS-CHAP v2 para iniciar sesión en el dominio. También se puede crear un perfil inalámbrico de arranque en el cliente inalámbrico, que primero autentica la computadora a la red inalámbrica y se une a la red. En esta etapa, la máquina aún no tiene acceso a los recursos del dominio. La máquina ejecutará un script, almacenado en el sistema o en una unidad USB, que la autentica al dominio. La autenticación se puede realizar mediante una combinación de nombre de usuario y contraseña o mediante certificados de seguridad de un proveedor de infraestructura de clave pública (PKI) como VeriSign .
  • Windows Vista también incluye un marco de host de protocolo de autenticación extensible (EAPHost) que proporciona extensibilidad para los métodos de autenticación para tecnologías de acceso a redes protegidas de uso común, como 802.1X y PPP. [18] Permite a los proveedores de redes desarrollar e instalar fácilmente nuevos métodos de autenticación conocidos como métodos EAP.
  • Windows Vista admite el uso de PEAP con PPTP . Los mecanismos de autenticación admitidos son PEAPv0/EAP-MSCHAPv2 (contraseñas) y PEAP-TLS (tarjetas inteligentes y certificados).
  • Windows Vista Service Pack 1 incluye Secure Socket Tunneling Protocol , un nuevo protocolo VPN propietario de Microsoft que proporciona un mecanismo para transportar tráfico de Protocolo punto a punto (PPP) (incluido el tráfico IPv6 ) a través de un canal SSL .

Características específicas de x86-64

  • Las versiones de 64 bits de Windows Vista aplican la Prevención de ejecución de datos (DEP) basada en hardware, sin emulación de software de respaldo. Esto garantiza que no se utilice la DEP aplicada por software, que es menos eficaz (y que solo se encarga de la gestión segura de excepciones y no está relacionada con el bit NX). Además, la DEP, de forma predeterminada, se aplica a todas las aplicaciones y servicios de 64 bits en las versiones x86-64 y en aquellas aplicaciones de 32 bits que optan por ello. Por el contrario, en las versiones de 32 bits, la DEP aplicada por software es una opción disponible y, de forma predeterminada, está habilitada solo para los componentes esenciales del sistema.
  • Una protección de parches de kernel mejorada , también conocida como PatchGuard , evita que el software de terceros, incluidos los controladores de modo kernel, modifiquen el kernel o cualquier estructura de datos utilizada por el kernel de cualquier manera; si se detecta alguna modificación, el sistema se apaga. Esto mitiga una táctica común utilizada por los rootkits para ocultarse de las aplicaciones de modo usuario. [19] PatchGuard se introdujo por primera vez en la edición x64 de Windows Server 2003 Service Pack 1 y se incluyó en la edición x64 de Windows XP Professional.
  • Los controladores en modo kernel en las versiones de 64 bits de Windows Vista deben estar firmados digitalmente; ni siquiera los administradores podrán instalar controladores en modo kernel sin firmar. [20] Hay una opción disponible en el momento del arranque para desactivar esta comprobación durante una única sesión de Windows. No es necesario que los controladores en modo usuario de 64 bits estén firmados digitalmente.
  • Code Integrity realiza la suma de comprobación del código firmado. Antes de cargar los binarios del sistema, se verifican con la suma de comprobación para garantizar que no se hayan modificado. Los binarios se verifican buscando sus firmas en los catálogos del sistema. El cargador de arranque de Windows Vista comprueba la integridad del núcleo, la capa de abstracción de hardware (HAL) y los controladores de arranque. Además del espacio de memoria del núcleo, Code Integrity verifica los binarios cargados en un proceso protegido y las bibliotecas dinámicas instaladas en el sistema que implementan funciones criptográficas básicas.

Otras características y cambios

Se han realizado una serie de cambios específicos de seguridad y confiabilidad:

  • Se utiliza un cifrado más fuerte para almacenar secretos LSA (registros de dominio en caché, contraseñas, claves de cifrado EFS, política de seguridad local, auditoría, etc.) [21]
  • Compatibilidad con el estándar de autenticación IEEE 1667 para unidades flash USB con una revisión para Windows Vista Service Pack 2. [22]
  • El SSP Kerberos se ha actualizado para admitir el cifrado AES . [23] El SSP SChannel también tiene un cifrado AES más fuerte y soporte ECC . [24]
  • Las políticas de restricción de software introducidas en Windows XP se han mejorado en Windows Vista. [25] El nivel de seguridad de usuario básico se expone de forma predeterminada en lugar de estar oculto. El algoritmo de regla hash predeterminado se ha actualizado de MD5 a SHA256, que es más seguro . Las reglas de certificado ahora se pueden habilitar a través del cuadro de diálogo Propiedad de aplicación desde la extensión del complemento Políticas de restricción de software.
  • Para evitar la eliminación accidental de Windows, Vista no permite formatear la partición de arranque cuando está activa (haga clic con el botón derecho en la unidad C: y elija "Formatear", o escriba "Formatear C:" (sin comillas) en el Símbolo del sistema y aparecerá un mensaje que indica que no se permite formatear este volumen). Para formatear el disco duro principal (la unidad que contiene Windows), el usuario debe arrancar el equipo desde un disco de instalación de Windows o elegir el elemento de menú "Reparar el equipo" en las Opciones avanzadas de recuperación del sistema presionando F8 al encender el equipo.
  • Las configuraciones adicionales de EFS permiten configurar cuándo se actualizan las políticas de cifrado, si los archivos que se mueven a carpetas cifradas se cifran, el cifrado de archivos de caché de archivos sin conexión y si los elementos cifrados pueden ser indexados por Windows Search .
  • La función Nombres de usuario y contraseñas almacenados (Administrador de credenciales) incluye un nuevo asistente para realizar copias de seguridad de nombres de usuario y contraseñas en un archivo y restaurarlos en sistemas que ejecutan Windows Vista o sistemas operativos posteriores.
  • Una nueva configuración de directiva en la Política de grupo permite mostrar la fecha y la hora del último inicio de sesión interactivo exitoso y la cantidad de intentos de inicio de sesión fallidos desde el último inicio de sesión exitoso con el mismo nombre de usuario. Esto permitirá que un usuario determine si la cuenta se utilizó sin su conocimiento. La directiva se puede habilitar para usuarios locales y también para equipos unidos a un dominio de nivel funcional.
  • La Protección de recursos de Windows evita cambios en la configuración del sistema que puedan resultar perjudiciales [26] , ya que impide que cualquier proceso que no sea Windows Installer modifique los archivos y la configuración del sistema . Además, se bloquean los cambios en el registro que realice software no autorizado.
  • Internet Explorer en modo protegido: Internet Explorer 7 y versiones posteriores incorporan varios cambios de seguridad, como filtro de suplantación de identidad (phishing), inclusión voluntaria en ActiveX , protección de manejo de URL, protección contra ataques de secuencias de comandos entre dominios y suplantación de la barra de estado. Se ejecutan como un proceso de baja integridad en Windows Vista, solo pueden escribir en la carpeta Archivos temporales de Internet y no pueden obtener acceso de escritura a archivos y claves de registro en el perfil de un usuario, lo que protege al usuario de contenido malicioso y vulnerabilidades de seguridad, incluso en controles ActiveX . Además, Internet Explorer 7 y versiones posteriores utilizan la API de protección de datos ( DPAPI ) más segura para almacenar sus credenciales, como contraseñas, en lugar del almacenamiento protegido (PStore) menos seguro .
  • Integración de reconocimiento de ubicación de red con el Firewall de Windows. Todas las redes recién conectadas se configuran de manera predeterminada en "Ubicación pública", lo que bloquea los puertos y servicios de escucha. Si una red está marcada como confiable, Windows recuerda esa configuración para las futuras conexiones a esa red.
  • El marco de controladores en modo usuario impide que los controladores accedan directamente al núcleo, sino que lo hacen a través de una API dedicada. Esta nueva característica es importante porque la mayoría de los fallos del sistema se pueden atribuir a controladores de dispositivos de terceros instalados incorrectamente. [27]
  • El Centro de seguridad de Windows se ha actualizado para detectar e informar sobre la presencia de software antimalware , así como para supervisar y restaurar varias configuraciones de seguridad de Internet Explorer y el Control de cuentas de usuario. Para el software antivirus que se integra con el Centro de seguridad , presenta la solución para solucionar cualquier problema en su propia interfaz de usuario. Además, se han agregado algunas llamadas a la API de Windows para permitir que las aplicaciones recuperen el estado de salud agregado del Centro de seguridad de Windows y reciban notificaciones cuando el estado de salud cambia.
  • El almacenamiento protegido (PStore) ha quedado obsoleto y, por lo tanto, se ha convertido en un sistema de solo lectura en Windows Vista. Microsoft recomienda utilizar DPAPI para agregar nuevos elementos de datos de PStore o administrar los existentes. [28] Internet Explorer 7 y versiones posteriores también utilizan DPAPI en lugar de PStore para almacenar sus credenciales.
  • La cuenta de administrador integrada está deshabilitada de forma predeterminada en una instalación limpia de Windows Vista. Tampoco se puede acceder a ella desde el modo seguro siempre que haya al menos una cuenta de administrador local adicional.

Véase también

Referencias

  1. ^ Steve Lipner, Michael Howard (marzo de 2005). "El ciclo de vida del desarrollo de la seguridad informática de confianza". Microsoft Developer Network . Consultado el 15 de febrero de 2006 .
  2. ^ Charles (5 de marzo de 2007). "UAC - Qué. Cómo. Por qué" (video) . Consultado el 23 de marzo de 2007 .
  3. ^ "Guía paso a paso del cifrado de unidad BitLocker en Windows Vista Beta 2". Microsoft TechNet. 2005. Consultado el 13 de abril de 2006 .
  4. ^ "Guía paso a paso de administración del módulo de plataforma segura de Windows". TechNet . Microsoft . Consultado el 18 de noviembre de 2014 .
  5. ^ "Clase Win32_Tpm". MSDN . Microsoft . Consultado el 18 de noviembre de 2014 .
  6. ^ "TPM Base Services". MSDN . Microsoft . Consultado el 18 de noviembre de 2014 .
  7. ^ El número de enero de 2006 de The Cable Guy cubre las nuevas características e interfaces del Firewall de Windows con mayor detalle.
  8. ^ "Guía paso a paso para controlar la instalación de dispositivos mediante la directiva de grupo". MSDN . Microsoft . 11 de mayo de 2010.
  9. ^ "Administración de restricciones de hardware mediante directivas de grupo". TechNet Magazine . Microsoft . 8 de septiembre de 2016.
  10. ^ Howard, Michael (26 de mayo de 2006). «Aleatorización del diseño del espacio de direcciones en Windows Vista». MSDN . Microsoft . Archivado desde el original el 29 de mayo de 2006 . Consultado el 20 de marzo de 2023 .
  11. ^ "Avances en seguridad en Windows Vista". Archivado desde el original el 11 de abril de 2007. Consultado el 10 de abril de 2007 .
  12. ^ ab "Protección de contenido de salida y Windows Vista". WHDC . Microsoft. 27 de abril de 2005. Archivado desde el original el 6 de agosto de 2005 . Consultado el 30 de abril de 2006 .
  13. ^ Procesos protegidos en Windows Vista
  14. ^ "Mejoras en la seguridad y protección de datos de Windows Vista: refuerzo de los servicios de Windows". TechNet . Microsoft. 1 de junio de 2005 . Consultado el 21 de mayo de 2006 .
  15. ^ El impacto del aislamiento de la sesión 0 en los servicios y controladores en Windows Vista cubre los cambios en el aislamiento de sesión de Windows Vista.
  16. ^ AuthIP en Windows Vista
  17. ^ The Cable Guy: Inicio de sesión único inalámbrico
  18. ^ EAPHost en Windows
  19. ^ Field, Scott (11 de agosto de 2006). "Introducción a la protección mediante parches del núcleo". Blog de seguridad de Windows Vista . Blogs de MSDN . Consultado el 12 de agosto de 2006 .
  20. ^ "Firmas digitales para módulos del núcleo en sistemas basados ​​en x64 que ejecutan Windows Vista". WHDC . Microsoft. 19 de mayo de 2006. Archivado desde el original el 12 de abril de 2006 . Consultado el 19 de mayo de 2006 .
  21. ^ Secretos de Windows LSA
  22. ^ Hay una actualización disponible que permite la compatibilidad con dispositivos de almacenamiento mejorado en Windows Vista y en Windows Server 2008
  23. ^ Mejoras de Kerberos en Windows Vista: MSDN
  24. ^ Mejoras criptográficas TLS/SSL en Windows Vista
  25. ^ Uso de políticas de restricción de software para protegerse contra software no autorizado
  26. ^ Funciones de administración de Windows Vista
  27. ^ CNET.com (2007). "Reseña de Windows Vista Ultimate" . Consultado el 31 de enero de 2007 .
  28. ^ "Desuso de SPAP (PStore)". Archivado desde el original el 21 de abril de 2008. Consultado el 17 de abril de 2007 .
Obtenido de "https://es.wikipedia.org/w/index.php?title=Funciones_de_seguridad_y_protección_nuevas_en_Windows_Vista&oldid=1241366466"