¿Cómo se configuran las PC con Windows 10 para evitar problemas de seguridad comunes?
Es tentador pensar que el proceso de asegurar un dispositivo con Windows 10 puede reducirse a una simple lista de verificación. Instale algún software de seguridad, ajuste algunas configuraciones, realice una sesión de entrenamiento o dos, y puede pasar al siguiente elemento en su lista de tareas pendientes.
Por desgracia, el mundo real es mucho más complicado que eso.
Una vez que se completa esa configuración inicial, la seguridad requiere una vigilancia continua y un esfuerzo continuo. Gran parte del trabajo de asegurar un dispositivo con Windows 10 ocurre lejos del dispositivo en sí. Una política de seguridad bien planificada presta atención al tráfico de red, cuentas de correo electrónico, mecanismos de autenticación, servidores de administración y otras conexiones externas.
Esta guía cubre un amplio espectro de casos de uso de negocios, y cada encabezado discute un tema que los tomadores de decisiones deben tener en cuenta al implementar PC con Windows 10 . Y aunque cubre muchas opciones disponibles, esta no es una guía práctica.
En una gran empresa, su personal de TI debe incluir especialistas en seguridad que puedan administrar estos pasos. En una pequeña empresa sin personal de TI dedicado, externalizar estas responsabilidades a un consultor con la experiencia necesaria podría ser el mejor enfoque.
Sin embargo, antes de tocar una sola configuración de Windows, tómese un tiempo para una evaluación de amenazas. En particular, tenga en cuenta sus responsabilidades legales y reglamentarias en caso de violación de datos u otro evento relacionado con la seguridad. Para las empresas que están sujetas a los requisitos de cumplimiento, querrá contratar a un especialista que conozca su industria y pueda asegurarse de que sus sistemas cumplan con todos los requisitos aplicables.
Las siguientes categorías se aplican a empresas de todos los tamaños.
La configuración de seguridad más importante para cualquier PC con Windows 10 es garantizar que las actualizaciones se instalen en un horario regular y predecible. Eso es cierto para todos los dispositivos informáticos modernos, por supuesto, pero el modelo de "Windows como servicio" que Microsoft introdujo con Windows 10 cambia la forma en que administra las actualizaciones.
Sin embargo, antes de comenzar, es importante comprender los diferentes tipos de actualizaciones de Windows 10 y cómo funcionan.
- Las actualizaciones de calidad se entregan mensualmente a través de Windows Update. Abordan problemas de seguridad y confiabilidad y no incluyen nuevas características. (Estas actualizaciones también incluyen parches para defectos de microcódigo en procesadores Intel ).
- Todas las actualizaciones de calidad son acumulativas , por lo que ya no tendrá que descargar docenas o incluso cientos de actualizaciones después de realizar una instalación limpia de Windows 10. En su lugar, puede instalar la última actualización acumulativa y estará completamente actualizado.
- Las actualizaciones de funciones son el equivalente de lo que solía llamarse actualizaciones de versiones. Incluyen nuevas funciones y requieren una descarga de varios gigabytes y una configuración completa. Las actualizaciones de características de Windows 10 se lanzan dos veces al año, en abril y octubre, y también se entregan a través de Windows Update.
De forma predeterminada, los dispositivos con Windows 10 descargan e instalan actualizaciones tan pronto como estén disponibles en los servidores de actualización de Microsoft. En los dispositivos que ejecutan Windows 10 Home, no hay una forma compatible de controlar cuándo se instalan las actualizaciones. Sin embargo, los administradores pueden ejercer cierto control sobre cuándo se instalan actualizaciones en las PC que ejecutan ediciones comerciales de Windows 10.
Al igual que con todas las decisiones de seguridad, elegir cuándo instalar las actualizaciones implica una compensación. Instalar actualizaciones inmediatamente después de su lanzamiento ofrece la mejor protección; aplazar las actualizaciones hace posible minimizar el tiempo de inactividad no programado asociado con esas actualizaciones.
Uso de la actualización de Windows para negocios funciones incorporadas en Windows 10 Pro, Enterprise y Educación, se puede dejar la instalación de cambios de calidad por hasta 30 días. También puede retrasar las actualizaciones de funciones hasta dos años, dependiendo de la edición.
Aplazar las actualizaciones de calidad entre siete y 15 días es una forma de bajo riesgo de evitar el riesgo de una actualización defectuosa que puede causar problemas de estabilidad o compatibilidad. Puede ajustar la configuración de Windows Update para empresas en PC individuales usando los controles en Configuración> Actualización y seguridad> Opciones avanzadas.
En organizaciones más grandes, los administradores pueden aplicar la configuración de Windows Update para empresas mediante la directiva de grupo o el software de administración de dispositivos móviles (MDM). También puede administrar las actualizaciones de forma centralizada utilizando una herramienta de administración como System Center Configuration Manager o Windows Server Update Services.
Finalmente, su estrategia de actualización de software no debería detenerse en el propio Windows. Asegúrese de que las actualizaciones para las aplicaciones de Windows, incluidas las aplicaciones de Microsoft Office y Adobe, se instalen automáticamente.
Identidad y Gestión de Cuentas de Usuario
Cada PC con Windows 10 requiere al menos una cuenta de usuario, que a su vez está protegida por una contraseña y mecanismos de autenticación opcionales. La forma en que configura esa cuenta (y cualquier cuenta secundaria) contribuye en gran medida a garantizar la seguridad del dispositivo.
Los dispositivos que ejecutan una edición comercial de Windows 10 (Pro, Enterprise o Education) se pueden unir a un dominio de Windows. En esa configuración, los administradores de dominio tienen acceso a las funciones de Active Directory y pueden autorizar a usuarios, grupos y computadoras a acceder a recursos locales y de red. Si es administrador de dominio, puede administrar PC con Windows 10 utilizando el conjunto completo de herramientas de Active Directory basadas en servidor.
Para las PC con Windows 10 que no están unidas a un dominio, como es el caso en la mayoría de las pequeñas empresas, puede elegir entre tres tipos de cuenta:
- Las cuentas locales usan credenciales que se almacenan solo en el dispositivo.
- Las cuentas de Microsoft son gratuitas para uso del consumidor y permiten la sincronización de datos y configuraciones en PC y dispositivos; También admiten la autenticación de dos factores y las opciones de recuperación de contraseña.
- Las cuentas de Azure Active Directory (Azure AD) están asociadas a un dominio personalizado y se pueden administrar de forma centralizada. Las características básicas de Azure AD son gratuitas y se incluyen con las suscripciones de Office 365, Business y Enterprise; Las características adicionales de Azure AD están disponibles como actualizaciones pagas.
La primera cuenta en una PC con Windows 10 es miembro del grupo Administradores y tiene derecho a instalar software y modificar la configuración del sistema. Las cuentas secundarias pueden y deben configurarse como usuarios estándar para evitar que usuarios no capacitados dañen accidentalmente el sistema o instalen software no deseado.
Requerir una contraseña segura es un paso esencial independientemente del tipo de cuenta. En las redes administradas, los administradores pueden usar la Política de grupo o el software MDM para aplicar una política de contraseña de la organización.
Para aumentar la seguridad del proceso de inicio de sesión en un dispositivo específico, puede usar una función de Windows 10 llamada Windows Hello . Windows Hello requiere un proceso de verificación de dos pasos para inscribir el dispositivo con una cuenta de Microsoft, una cuenta de Active Directory, una cuenta de Azure AD o un proveedor de identidad externo que admita la versión 2.0 de FIDO.
Cuando se completa esa inscripción, el usuario puede iniciar sesión con un PIN o, con hardware compatible, autenticación biométrica como una huella digital o reconocimiento facial. Los datos biométricos se almacenan solo en el dispositivo y evitan una variedad de ataques comunes de robo de contraseñas. En los dispositivos conectados a cuentas comerciales, los administradores pueden utilizar Windows Hello para empresas para especificar los requisitos de complejidad del PIN.
Finalmente, cuando use cuentas de Microsoft o Azure AD en PC de negocios, debe configurar la autenticación multifactor (MFA) para proteger la cuenta de ataques externos. En las cuentas de Microsoft, la configuración de verificación en dos pasos está disponible en https://account.live.com/proofs. Para las cuentas de Office 365 Enterprise, un administrador primero debe habilitar la función desde el portal de Office, después de lo cual los usuarios pueden administrar la configuración de MFA en https://account.activedirectory.windowsazure.com/r#/profile .
Protección de Datos
La seguridad física es tan importante como los problemas relacionados con el software o las redes. Un portátil robado, o uno dejado en un taxi o en un restaurante, puede conducir a un riesgo significativo de pérdida de datos. Para una empresa o una agencia gubernamental, el impacto puede ser desastroso y las consecuencias son aún peores en las industrias reguladas o donde las leyes de violación de datos requieren divulgación pública.
En un dispositivo con Windows 10, el cambio de configuración más relevante que puede hacer es habilitar el cifrado del dispositivo BitLocker . (BitLocker es la marca que utiliza Microsoft para las herramientas de cifrado disponibles en las ediciones comerciales de Windows).
Con BitLocker habilitado, cada bit de datos en el dispositivo se cifra usando el estándar XTS-AES. Con la configuración de la directiva de grupo o las herramientas de administración de dispositivos, puede aumentar la intensidad de cifrado de su configuración predeterminada de 128 bits a 256 bits.
Habilitar BitLocker requiere un dispositivo que incluya un chip Trusted Platform Module (TPM); En este sentido, todas las PC comerciales fabricadas en los últimos seis años deben cumplir los requisitos. Además, BitLocker requiere una edición comercial de Windows 10 (Pro, Enterprise o Education); la edición Home admite un cifrado seguro del dispositivo, pero solo con una cuenta de Microsoft, y no permite la administración de un dispositivo BitLocker.
Para obtener capacidades de administración completas, también deberá configurar BitLocker con una cuenta de Active Directory en un dominio de Windows o una cuenta de Azure Active Directory. En cualquiera de las configuraciones, la clave de recuperación se guarda en una ubicación que está disponible para el dominio o el administrador de AAD.
En un dispositivo no administrado que ejecuta una edición comercial de Windows 10, puede usar una cuenta local, pero deberá usar las herramientas de administración de BitLocker para habilitar el cifrado en las unidades disponibles.
Y no olvide encriptar dispositivos de almacenamiento portátiles. Unidades flash USB. Las tarjetas MicroSD utilizadas como almacenamiento de expansión y los discos duros portátiles se pierden fácilmente, pero los datos se pueden proteger de miradas indiscretas con el uso de BitLocker To Go, que utiliza una contraseña para descifrar el contenido de la unidad.
En organizaciones grandes que utilizan Azure Active Directory, también es posible proteger el contenido de los archivos almacenados y los mensajes de correo electrónico mediante Azure Information Protection y el servicio Azure Rights Management . Esa combinación permite a los administradores clasificar y restringir el acceso a los documentos creados en Office y otras aplicaciones, independientemente de su estado de cifrado local.
Bloqueo de Código Malicioso en Windows 10
Cada instalación de Windows 10 incluye un antivirus incorporado, un software antimalware llamado Windows Defender, que se actualiza usando el mismo mecanismo que Windows Update. Windows Defender está diseñado para ser una función de configuración y olvídalo y no requiere ninguna configuración manual. Si instala un paquete de seguridad de terceros, Windows Defender se hace a un lado y permite que el software detecte y elimine posibles amenazas.
Las grandes organizaciones que usan la edición Windows Enterprise pueden implementar la Protección contra amenazas avanzada de Windows Defender, una plataforma de seguridad que monitorea los puntos finales como las PC con Windows 10 que utilizan sensores de comportamiento. Mediante el uso de análisis basados en la nube, ATP de Windows Defender puede identificar comportamientos sospechosos y alertar a los administradores sobre posibles amenazas.
Para las empresas más pequeñas, el desafío más importante es evitar que el código malicioso llegue a la PC en primer lugar. La tecnología SmartScreen de Microsoft es otra característica incorporada que escanea las descargas y bloquea la ejecución de aquellas que se sabe que son maliciosas. La tecnología SmartScreen también bloquea programas no reconocidos, pero permite al usuario anular esas configuraciones si es necesario.
Vale la pena señalar que SmartScreen en Windows 10 funciona independientemente de la tecnología basada en el navegador, como el servicio de navegación segura de Google y el servicio de filtro SmartScreen en Microsoft Edge.
En PC no administradas, SmartScreen es otra característica que no requiere configuración manual. Puede ajustar su configuración utilizando la configuración de Control de aplicaciones y navegador en la aplicación Seguridad de Windows en Windows 10.
Otro vector crucial para la gestión de código potencialmente malicioso es el correo electrónico, donde los archivos adjuntos aparentemente inocuos y los enlaces a sitios web maliciosos pueden provocar infecciones. Aunque el software del cliente de correo electrónico puede ofrecer cierta protección en este sentido, el bloqueo de estas amenazas a nivel del servidor es la forma más efectiva de prevenir ataques en las PC.
Un enfoque eficaz para evitar que los usuarios ejecuten programas no deseados (incluido el código malicioso) es configurar una PC con Windows 10 para que no ejecute ninguna aplicación, excepto aquellas que usted autorice específicamente. Para ajustar esta configuración en una sola PC, vaya a Configuración> Aplicaciones> Aplicaciones y características; bajo el encabezado Instalar aplicaciones, elija Permitir aplicaciones solo de la tienda. Esta configuración permite que se ejecuten aplicaciones instaladas anteriormente, pero impide la instalación de cualquier programa descargado desde fuera de Microsoft Store.
Los administradores pueden configurar esta configuración a través de una red mediante la Política de grupo: Configuración del equipo> Plantillas administrativas> Componentes de Windows> Windows Defender SmartScreen> Explorer> Configurar el control de instalación de la aplicación.
El enfoque más extremo para bloquear una PC con Windows 10 es usar la función Acceso asignado para configurar el dispositivo de modo que pueda ejecutar solo una aplicación. Si elige Microsoft Edge como la aplicación, puede configurar el dispositivo para que se ejecute en modo de pantalla completa bloqueado en un solo sitio o como un navegador público con un conjunto limitado de características.
Para configurar esta función, vaya a Configuración> Familia y otros usuarios y haga clic en Acceso asignado. (En una PC conectada a una cuenta comercial, esta opción se encuentra en Configuración> Otros usuarios).
Redes
Cada versión de Windows en los últimos 15 años ha incluido un firewall de inspección con estado. En Windows 10, este firewall está habilitado de manera predeterminada y no necesita ningún ajuste para ser efectivo. Al igual que con sus predecesores, el firewall de Windows 10 admite tres configuraciones de red diferentes: Dominio, Privado y Público. Las aplicaciones que necesitan acceso a los recursos de la red generalmente pueden configurarse como parte de la configuración inicial.
Para ajustar la configuración básica del firewall de Windows , use la pestaña Firewall y Protección de red en la aplicación Seguridad de Windows. Para obtener un conjunto de herramientas de configuración mucho más completo y exclusivo para expertos, haga clic en Configuración avanzada para abrir el Firewall de Windows Defender heredado con la consola de seguridad avanzada. En las redes administradas, esta configuración se puede controlar mediante una combinación de la directiva de grupo y la configuración del lado del servidor.
Desde el punto de vista de la seguridad, las mayores amenazas basadas en la red para una PC con Windows 10 surgen cuando se conecta a redes inalámbricas. Las grandes organizaciones pueden mejorar significativamente la seguridad de las conexiones inalámbricas agregando soporte para el estándar 802.1x , que utiliza controles de acceso en lugar de contraseñas compartidas como en las redes inalámbricas WPA2. Windows 10 solicitará un nombre de usuario y una contraseña cuando intente conectarse a este tipo de red y rechazará las conexiones no autorizadas.
En las redes basadas en el dominio de Windows, puede usar la función nativa de DirectAccess para permitir el acceso remoto seguro.
Para los momentos en que debe conectarse a una red inalámbrica no confiable, la mejor alternativa es configurar una red privada virtual (VPN). Windows 10 admite los paquetes VPN más populares usados en redes corporativas; para configurar este tipo de conexión, vaya a Configuración> Red e Internet> VPN. Las pequeñas empresas y las personas pueden elegir entre una variedad de servicios VPN de terceros compatibles con Windows.
