Funciones de seguridad y protección nuevas en Windows Vista

Artículo de descripción general

Hay una serie de características de seguridad nuevas en Windows Vista , la mayoría de las cuales no están disponibles en ninguna versión anterior del sistema operativo Microsoft Windows .

Desde principios de 2002, con el anuncio de Microsoft de su iniciativa Trustworthy Computing , se ha trabajado mucho para hacer de Windows Vista un sistema operativo más seguro que sus predecesores. Internamente, Microsoft adoptó un " ciclo de vida de desarrollo de seguridad " ^[1] con el espíritu subyacente de "Seguro por diseño, seguro por defecto, seguro en la implementación". Se desarrolló un nuevo código para Windows Vista con la metodología SDL y todo el código existente se revisó y refactorizó para mejorar la seguridad.

Algunas áreas específicas donde Windows Vista introduce nuevos mecanismos de seguridad incluyen Control de cuentas de usuario, controles parentales, Protección de acceso a la red , una herramienta antimalware incorporada y nuevos mecanismos de protección de contenido digital.

Control de cuentas del usuario

El Control de cuentas de usuario es una nueva infraestructura que requiere el consentimiento del usuario antes de permitir cualquier acción que requiera privilegios administrativos. Con esta característica, todos los usuarios, incluidos los usuarios con privilegios administrativos, se ejecutan en un modo de usuario estándar de forma predeterminada, ya que la mayoría de las aplicaciones no requieren privilegios superiores. Cuando se intenta alguna acción que requiere privilegios administrativos, como instalar nuevo software o cambiar la configuración del sistema o de seguridad, Windows le preguntará al usuario si permite la acción o no. Si el usuario elige permitirlo, el proceso que inicia la acción se eleva a un contexto de mayor privilegio para continuar. Si bien los usuarios estándar deben ingresar un nombre de usuario y contraseña de una cuenta administrativa para obtener un proceso elevado ( Credenciales por encima del hombro ), un administrador puede optar por que se le solicite solo su consentimiento o solicitar credenciales. Si el usuario no hace clic en Sí, después de 30 segundos se rechaza la solicitud.

UAC solicita credenciales en un modo de escritorio seguro , donde toda la pantalla se desvanece y se desactiva temporalmente, para presentar solo la interfaz de usuario de elevación. Esto es para evitar la suplantación de la interfaz de usuario o del mouse por parte de la aplicación que solicita la elevación. Si la aplicación que solicita la elevación no tiene el foco antes de que se produzca el cambio a Secure Desktop , entonces el ícono de su barra de tareas parpadea y, cuando está enfocado, se presenta la interfaz de usuario de elevación (sin embargo, no es posible evitar que una aplicación maliciosa obtenga el foco silenciosamente). .

Dado que Secure Desktop solo permite que se ejecuten aplicaciones del sistema con privilegios más altos , ninguna aplicación en modo de usuario puede presentar sus cuadros de diálogo en ese escritorio, por lo que se puede asumir con seguridad que cualquier solicitud de consentimiento de elevación es genuina. Además, esto también puede ayudar a proteger contra ataques de destrucción , que interceptan mensajes entre procesos de Windows para ejecutar código malicioso o falsificar la interfaz de usuario, al evitar que procesos no autorizados envíen mensajes a procesos con privilegios elevados. Cualquier proceso que quiera enviar un mensaje a un proceso de privilegios elevados debe elevarse al contexto de privilegios superiores, a través de UAC.

Las aplicaciones escritas asumiendo que el usuario se ejecutará con privilegios de administrador experimentaron problemas en versiones anteriores de Windows cuando se ejecutaron desde cuentas de usuario limitadas, a menudo porque intentaron escribir en directorios de toda la máquina o del sistema (como Archivos de programa) o claves de registro. (en particular, HKLM ) ^[2] UAC intenta aliviar esto utilizando la virtualización de archivos y registros , que redirige las escrituras (y las lecturas posteriores) a una ubicación por usuario dentro del perfil del usuario. Por ejemplo, si una aplicación intenta escribir en “C:\program files\appname\settings.ini” y el usuario no tiene permisos para escribir en ese directorio, la escritura será redirigida a “C:\Users\username \AppData\Local\VirtualStore\Program Files\appname\”.

Cifrado

BitLocker, anteriormente conocido como "Inicio seguro", esta función ofrece cifrado de disco completo para el volumen del sistema. Con la utilidad de línea de comandos, es posible cifrar volúmenes adicionales. Bitlocker utiliza una llave USB o un Módulo de plataforma segura (TPM) versión 1.2 de las especificaciones TCG para almacenar su clave de cifrado. Garantiza que la computadora que ejecuta Windows Vista se inicie en un buen estado y también protege los datos contra el acceso no autorizado. ^[3] Los datos del volumen se cifran con una clave de cifrado de volumen completo (FVEK), que luego se cifra con una clave maestra de volumen (VMK) y se almacena en el propio disco.

Windows Vista es el primer sistema operativo Microsoft Windows que ofrece soporte nativo para TPM 1.2 al proporcionar un conjunto de API, comandos, clases y servicios para el uso y administración de TPM. ^{[4] [5]} Un nuevo servicio del sistema, denominado TPM Base Services, permite acceder y compartir recursos de TPM para desarrolladores que deseen crear aplicaciones compatibles con el dispositivo. ^[6]

El sistema de cifrado de archivos (EFS) en Windows Vista se puede utilizar para cifrar el archivo de la página del sistema y la caché de archivos sin conexión por usuario . EFS también está más estrechamente integrado con la infraestructura de clave pública (PKI) empresarial y admite el uso de recuperación de claves basada en PKI, recuperación de datos a través de certificados de recuperación de EFS o una combinación de ambos. También hay nuevas políticas de grupo que requieren tarjetas inteligentes para EFS, imponen el cifrado de archivos de páginas, estipulan longitudes mínimas de clave para EFS, imponen el cifrado de la carpeta Documentos del usuario y prohíben los certificados autofirmados. La caché de la clave de cifrado EFS se puede borrar cuando un usuario bloquea su estación de trabajo o después de un límite de tiempo determinado.

El asistente de cambio de claves de EFS permite al usuario elegir un certificado para EFS y seleccionar y migrar archivos existentes que utilizarán el certificado recién elegido. Certificate Manager también permite a los usuarios exportar sus certificados de recuperación EFS y claves privadas. Se recuerda a los usuarios que hagan una copia de seguridad de sus claves EFS cuando las utilicen por primera vez mediante una notificación en forma de globo . El asistente de cambio de claves también se puede utilizar para migrar usuarios en instalaciones existentes desde certificados de software a tarjetas inteligentes . El asistente también puede ser utilizado por un administrador o por los propios usuarios en situaciones de recuperación. Este método es más eficaz que descifrar y volver a cifrar archivos.

firewall de Windows

Windows Vista mejora significativamente el firewall ^[7] para abordar una serie de inquietudes en torno a la flexibilidad del Firewall de Windows en un entorno corporativo:

• Filtrado de conexiones IPv6
• Filtrado de paquetes salientes, que refleja la creciente preocupación por el software espía y los virus que intentan "llamar a casa".
• Con el filtro de paquetes avanzado, también se pueden especificar reglas para las direcciones IP de origen y destino y los rangos de puertos.
• Las reglas se pueden configurar para los servicios según el nombre del servicio elegido en una lista, sin necesidad de especificar el nombre del archivo de ruta completo.
• IPsec está totalmente integrado, lo que permite permitir o denegar conexiones en función de certificados de seguridad, autenticación Kerberos , etc. También se puede requerir cifrado para cualquier tipo de conexión. Se puede crear una regla de seguridad de conexión utilizando un asistente que maneja la configuración compleja de políticas IPsec en la máquina. El Firewall de Windows puede permitir el tráfico en función de si está protegido por IPsec.
• Un nuevo complemento de la consola de administración denominado Firewall de Windows con seguridad avanzada que brinda acceso a muchas opciones avanzadas, incluida la configuración de IPsec , y permite la administración remota.
• Capacidad de tener perfiles de firewall separados para cuando las computadoras están unidas a un dominio o conectadas a una red pública o privada. Soporte para la creación de reglas para hacer cumplir las políticas de aislamiento de servidores y dominios.

Defensor de Windows

Windows Vista incluye Windows Defender, la utilidad antispyware de Microsoft. Según Microsoft, se le cambió el nombre de 'Microsoft AntiSpyware' porque no sólo incluye escaneo del sistema en busca de software espía, similar a otros productos gratuitos en el mercado, sino que también incluye agentes de seguridad en tiempo real que monitorean varias áreas comunes de Windows en busca de cambios que puede deberse a software espía. Estas áreas incluyen la configuración y descargas de Internet Explorer, aplicaciones de inicio automático, ajustes de configuración del sistema y complementos para Windows, como las extensiones de Windows Shell.

Windows Defender también incluye la capacidad de eliminar aplicaciones ActiveX que están instaladas y bloquear programas de inicio. También incorpora la red SpyNet , que permite a los usuarios comunicarse con Microsoft, enviar lo que consideran software espía y comprobar qué aplicaciones son aceptables.

Control de instalación del dispositivo

Windows Vista permite a los administradores imponer restricciones de hardware a través de la Política de grupo para evitar que los usuarios instalen dispositivos, restringir la instalación de dispositivos a una lista blanca predefinida o restringir el acceso a medios extraíbles y clases de dispositivos. ^{[8] [9]}

Controles parentales

Controles parentales de Windows Vista que muestran funciones para restringir una cuenta de usuario estándar de Danielle

Windows Vista incluye una gama de controles parentales para que los administradores supervisen y restrinjan la actividad informática de cuentas de usuario estándar que no forman parte de un dominio ; El Control de cuentas de usuario aplica restricciones administrativas. Las características incluyen: Filtro web de Windows Vista , implementado como un filtro LSP de Winsock para funcionar en todos los navegadores web, que prohíbe el acceso a sitios web según categorías de contenido o direcciones específicas (con una opción para bloquear todas las descargas de archivos); Límites de tiempo , que impide que los usuarios estándar inicien sesión durante una fecha u hora especificada por un administrador (y que bloquea las cuentas restringidas que ya iniciaron sesión durante esas horas); Restricciones de juegos , que permite a los administradores bloquear juegos según nombres, contenidos o clasificaciones definidas por un sistema de clasificación de contenido de videojuegos como Entertainment Software Rating Board (ESRB) , con restricciones de contenido que tienen prioridad sobre las restricciones de clasificación (por ejemplo, para todos los mayores de 10 años). (E10+) se puede permitir la ejecución de juegos en general, pero los juegos E10+ con lenguaje suave aún se bloquearán si el lenguaje suave en sí está bloqueado); Restricciones de aplicaciones , que utiliza listas blancas de aplicaciones para aplicaciones específicas; e Informes de actividad , que monitorea y registra las actividades de cuentas de usuario estándar restringidas.

Los controles parentales de Windows incluyen un conjunto extensible de opciones, con interfaces de programación de aplicaciones (API) para que los desarrolladores reemplacen las funciones incluidas por las suyas propias.

Funcionalidad de protección contra exploits

Windows Vista utiliza la aleatorización del diseño del espacio de direcciones (ASLR) para cargar archivos del sistema en direcciones aleatorias en la memoria. ^[10] De forma predeterminada, todos los archivos del sistema se cargan aleatoriamente en cualquiera de las 256 ubicaciones posibles. Otros ejecutables deben establecer específicamente un bit en el encabezado del archivo Portable Executable (PE) , que es el formato de archivo para los ejecutables de Windows, para usar ASLR. Para tales ejecutables, la pila y el montón asignados se deciden aleatoriamente. Al cargar archivos del sistema en direcciones aleatorias, al código malicioso le resulta más difícil saber dónde se encuentran las funciones privilegiadas del sistema, lo que hace que sea poco probable que las utilicen de forma predecible. Esto ayuda a prevenir la mayoría de los ataques de ejecución remota al evitar ataques de desbordamiento del búfer de retorno a LIBC .

El formato ejecutable portátil se ha actualizado para admitir la incorporación de la dirección del controlador de excepciones en el encabezado. Cada vez que se lanza una excepción, la dirección del controlador se verifica con la almacenada en el encabezado ejecutable. Si coinciden, se maneja la excepción; de lo contrario, indica que la pila de tiempo de ejecución se ha visto comprometida y, por lo tanto, el proceso finaliza.

Los punteros de función se ofuscan mediante XOR con un número aleatorio, por lo que la dirección real a la que apuntan es difícil de recuperar. Lo mismo sería cambiar manualmente un puntero, ya que la clave de ofuscación utilizada para el puntero sería muy difícil de recuperar. Por lo tanto, resulta difícil para cualquier usuario no autorizado del puntero de función poder utilizarlo. Además, los metadatos de los bloques del montón se realizan mediante XOR con números aleatorios. Además, se mantienen sumas de verificación para los bloques del montón, que se utilizan para detectar cambios no autorizados y daños en el montón. Siempre que se detecta una corrupción en el montón, la aplicación se cierra para evitar que el exploit se complete con éxito.

Los binarios de Windows Vista incluyen soporte intrínseco para la detección de desbordamiento de pila. Cuando se detecta un desbordamiento de pila en los binarios de Windows Vista, el proceso se cancela para que no pueda usarse para continuar con el exploit. Además, los archivos binarios de Windows Vista colocan buffers más altos en la memoria y no buffers, como punteros y parámetros proporcionados, en el área de memoria inferior. Entonces, para explotar realmente, se necesita una insuficiencia de datos del búfer para obtener acceso a esas ubicaciones. Sin embargo, las insuficiencias de datos del búfer son mucho menos comunes que las desbordamientos del búfer.

Aislamiento de aplicaciones

Windows Vista introduce el control de integridad obligatorio para establecer niveles de integridad para los procesos. Un proceso de baja integridad no puede acceder a los recursos de un proceso de mayor integridad. Esta característica se utiliza para imponer el aislamiento de aplicaciones, donde las aplicaciones en un nivel de integridad medio, como todas las aplicaciones que se ejecutan en el contexto de usuario estándar, no pueden conectarse a procesos a nivel del sistema que se ejecutan en un nivel de integridad alto, como las aplicaciones en modo administrador, pero pueden conectarse. en procesos de menor integridad como Windows Internet Explorer 7 u 8 . Un proceso con privilegios más bajos no puede realizar una validación de identificador de ventana de un privilegio de proceso más alto, no puede enviar mensajes o publicar mensajes a ventanas de aplicaciones con privilegios más altos, no puede usar enlaces de subprocesos para conectarse a un proceso con privilegios más altos, no puede usar enlaces de diario para monitorear un proceso con privilegios más altos y no puede realizar DLL: inyección a un proceso con privilegios superiores.

prevención de ejecución de datos

Windows Vista ofrece soporte total para la función NX (No-Execute) de los procesadores modernos. ^[11] DEP se introdujo en Windows XP Service Pack 2 y Windows Server 2003 Service Pack 1. Esta característica, presente como NX (EVP) en los procesadores AMD64 de AMD y como XD (EDB) en los procesadores Intel , puede marcar ciertos partes de la memoria contienen datos en lugar de código ejecutable, lo que evita que los errores de desbordamiento provoquen la ejecución de código arbitrario.

Si el procesador admite el bit NX, Windows Vista aplica automáticamente la prevención de ejecución de datos basada en hardware en todos los procesos para marcar algunas páginas de memoria como segmentos de datos no ejecutables (como el montón y la pila) y, posteriormente, se impide que se interpreten los datos. y ejecutado como código. Esto evita que el código de explotación se inyecte como datos y luego se ejecute.

Si DEP está habilitado para todas las aplicaciones , los usuarios obtienen resistencia adicional contra los exploits de día cero . Pero no todas las aplicaciones son compatibles con DEP y algunas generarán excepciones de DEP. Por lo tanto, DEP no se aplica a todas las aplicaciones de forma predeterminada en las versiones de 32 bits de Windows y solo se activa para los componentes críticos del sistema. Sin embargo, Windows Vista introduce controles de políticas NX adicionales que permiten a los desarrolladores de software habilitar la protección de hardware NX para su código, independientemente de la configuración de cumplimiento de compatibilidad en todo el sistema. Los desarrolladores pueden marcar sus aplicaciones como compatibles con NX cuando se crean, lo que permite aplicar la protección cuando esa aplicación se instala y se ejecuta. Esto permite un mayor porcentaje de código protegido por NX en el ecosistema de software en plataformas de 32 bits, donde la política de compatibilidad del sistema predeterminada para NX está configurada para proteger solo los componentes del sistema operativo. Para aplicaciones x86-64, la compatibilidad con versiones anteriores no es un problema y, por lo tanto, DEP se aplica de forma predeterminada para todos los programas de 64 bits. Además, en las versiones x86-64 de Windows Vista sólo se utiliza DEP aplicado por procesador para mayor seguridad.

Gestión de derechos digitales

Se han introducido nuevas funciones de protección de contenido y administración de derechos digitales en Windows Vista para ayudar a los proveedores de contenido digital y a las corporaciones a proteger sus datos contra la copia.

• PUMA: Protected User Mode Audio (PUMA) es la nueva pila de audio User Mode Audio (UMA). Su objetivo es proporcionar un entorno para la reproducción de audio que restrinja la copia de audio protegido por derechos de autor y restrinja las salidas de audio habilitadas a aquellas permitidas por el editor del contenido protegido. ^[12]
• Ruta de video protegida: administración de protección de salida (PVP-OPM) es una tecnología que evita la copia de transmisiones de video digital protegidas o su visualización en dispositivos de video que carecen de protección de copia equivalente (generalmente HDCP ). Microsoft afirma que sin estas restricciones la industria de contenidos puede impedir que las PC reproduzcan contenido protegido por derechos de autor al negarse a emitir claves de licencia para el cifrado utilizado por HD DVD, Blu-ray Disc u otros sistemas protegidos contra copia. ^[12]
• Ruta de vídeo protegida: bus accesible para el usuario (PVP-UAB) es similar a PVP-OPM, excepto que aplica cifrado de contenido protegido a través del bus PCI Express .
• Soporte de Rights Management Services (RMS), una tecnología que permitirá a las corporaciones aplicar restricciones similares a DRM a documentos corporativos, correo electrónico e intranets para protegerlos de ser copiados, impresos o incluso abiertos por personas no autorizadas para hacerlo.
• Windows Vista introduce un Proceso Protegido , ^[13] que se diferencia de los procesos habituales en el sentido de que otros procesos no pueden manipular el estado de dicho proceso, ni pueden introducirse en él subprocesos de otros procesos. Un proceso protegido tiene acceso mejorado a las funciones DRM de Windows Vista. Sin embargo, actualmente, sólo las aplicaciones que utilizan la ruta de vídeo protegida pueden crear procesos protegidos.

La inclusión de nuevas funciones de gestión de derechos digitales ha sido motivo de críticas a Windows Vista .

Endurecimiento del servicio de Windows

Windows Service Hardening compartimenta los servicios de tal manera que si un servicio se ve comprometido, no puede atacar fácilmente otros servicios en el sistema. Impide que los servicios de Windows realicen operaciones en sistemas de archivos, registro o redes ^[14] que no deberían realizar, reduciendo así la superficie de ataque general en el sistema y evitando la entrada de malware mediante la explotación de los servicios del sistema . A los servicios ahora se les asigna un identificador de seguridad (SID) por servicio , que permite controlar el acceso al servicio según el acceso especificado por el identificador de seguridad. Se puede asignar un SID por servicio durante la instalación del servicio a través de la API ChangeServiceConfig2 o usando el SC.EXEcomando con el verbo sidtype . Los servicios también pueden utilizar listas de control de acceso (ACL) para evitar el acceso externo a recursos privados para ellos.

Los servicios en Windows Vista también se ejecutan en una cuenta menos privilegiada, como Servicio local o Servicio de red , en lugar de la cuenta del Sistema . Las versiones anteriores de Windows ejecutaban servicios del sistema en la misma sesión de inicio de sesión que el usuario que había iniciado sesión localmente (sesión 0). En Windows Vista, la sesión 0 ahora está reservada para estos servicios y todos los inicios de sesión interactivos se realizan en otras sesiones. ^[15] Esto tiene como objetivo ayudar a mitigar una clase de vulnerabilidades del sistema de paso de mensajes de Windows, conocidas como ataques Shatter . El proceso que aloja un servicio solo tiene los privilegios especificados en el valor de registro RequiredPrivileges en HKLM\System\CurrentControlSet\Services .

Los servicios también necesitan permisos de escritura explícitos para escribir en los recursos, por servicio. Al utilizar un token de acceso restringido a escritura , solo aquellos recursos que deben ser modificados por un servicio reciben acceso de escritura, por lo que intentar modificar cualquier otro recurso falla. Los servicios también tendrán una política de firewall preconfigurada, lo que les otorga solo los privilegios necesarios para que funcionen correctamente. Los proveedores de software independientes también pueden utilizar Windows Service Hardening para reforzar sus propios servicios. Windows Vista también refuerza las canalizaciones con nombre utilizadas por los servidores RPC para evitar que otros procesos puedan secuestrarlas.

Autenticación e inicio de sesión

La identificación y autenticación gráfica ( GINA ), utilizada para la autenticación segura y el inicio de sesión interactivo, ha sido reemplazada por proveedores de credenciales . Combinados con el hardware de soporte, los proveedores de credenciales pueden ampliar el sistema operativo para permitir a los usuarios iniciar sesión a través de dispositivos biométricos (huella digital, retina o reconocimiento de voz), contraseñas, PIN y certificados de tarjetas inteligentes , o cualquier paquete y esquema de autenticación personalizado desarrollado por terceros. desea crear. La autenticación con tarjeta inteligente es flexible ya que los requisitos de certificado se relajan. Las empresas pueden desarrollar, implementar y, opcionalmente, aplicar mecanismos de autenticación personalizados para todos los usuarios del dominio. Los proveedores de credenciales pueden diseñarse para admitir el inicio de sesión único (SSO), autenticar a los usuarios en un punto de acceso a la red seguro (aprovechando RADIUS y otras tecnologías), así como el inicio de sesión en la máquina. Los proveedores de credenciales también están diseñados para admitir la recopilación de credenciales específicas de la aplicación y pueden usarse para la autenticación de recursos de red, unir máquinas a un dominio o para brindar consentimiento del administrador para el control de cuentas de usuario . La autenticación también es compatible mediante IPv6 o servicios web . Un nuevo proveedor de servicios de seguridad, CredSSP, está disponible a través de la interfaz del proveedor de soporte de seguridad que permite que una aplicación delegue las credenciales del usuario del cliente (mediante el SSP del lado del cliente) al servidor de destino (a través del SSP del lado del servidor). Terminal Services también utiliza CredSSP para proporcionar inicio de sesión único .

Windows Vista puede autenticar cuentas de usuario mediante tarjetas inteligentes o una combinación de contraseñas y tarjetas inteligentes ( autenticación de dos factores ). Windows Vista también puede usar tarjetas inteligentes para almacenar claves EFS . Esto garantiza que solo se pueda acceder a los archivos cifrados mientras la tarjeta inteligente esté físicamente disponible. Si se utilizan tarjetas inteligentes para iniciar sesión, EFS funciona en un modo de inicio de sesión único , donde utiliza la tarjeta inteligente de inicio de sesión para cifrar archivos sin solicitar más el PIN.

El cambio rápido de usuario , que estaba limitado a computadoras de grupos de trabajo en Windows XP, ahora también se puede habilitar para computadoras unidas a un dominio, comenzando con Windows Vista. Windows Vista también incluye soporte de autenticación para los controladores de dominio de sólo lectura introducidos en Windows Server 2008 .

Criptografía

Windows Vista presenta una actualización de la API criptográfica conocida como API de criptografía: próxima generación (CNG). La API CNG es una API en modo usuario y modo kernel que incluye soporte para criptografía de curva elíptica (ECC) y una serie de algoritmos más nuevos que forman parte de la Suite B de la Agencia de Seguridad Nacional (NSA). Es extensible y ofrece soporte para conectar API criptográficas personalizadas en el tiempo de ejecución de CNG. También se integra con el subsistema de tarjetas inteligentes al incluir un módulo CSP base que implementa todas las funciones criptográficas de backend estándar que los desarrolladores y fabricantes de tarjetas inteligentes necesitan, para que no tengan que escribir CSP complejos . La autoridad certificadora de Microsoft puede emitir certificados ECC y el cliente de certificados puede inscribir y validar certificados basados ​​en ECC y SHA-2.

Las mejoras de revocación incluyen soporte nativo para el Protocolo de estado de certificados en línea (OCSP), que proporciona verificación de validez de certificados en tiempo real, captación previa de CRL y diagnóstico CAPI2. La inscripción de certificados se basa en un asistente, permite a los usuarios ingresar datos durante la inscripción y proporciona información clara sobre inscripciones fallidas y certificados caducados. CertEnroll, una nueva API de inscripción basada en COM reemplaza la biblioteca XEnroll para una programabilidad flexible. Las capacidades de roaming de credenciales replican pares de claves, certificados y credenciales de Active Directory almacenados en nombres de usuario y contraseñas almacenados dentro de la red.

Eliminación de metadatos

La función Eliminar propiedades e información personal permite a los usuarios eliminar metadatos de los archivos antes de compartirlos para proteger su privacidad . Admite una pequeña cantidad de formatos de archivo y la eliminación de una cantidad limitada de propiedades. Sin embargo, es posible que el desarrollador de software desarrolle una extensión para esta función, para que admita formatos y propiedades de archivo adicionales. Ha sido criticado por su soporte muy limitado de formatos de archivo y elementos de metadatos y por tener una interfaz de usuario engañosa. ^[dieciséis]

Protección de acceso a la red

Windows Vista presenta la Protección de acceso a la red (NAP), que garantiza que las computadoras que se conectan o se comunican con una red cumplan con el nivel requerido de salud del sistema establecido por el administrador de una red. Dependiendo de la política establecida por el administrador, las computadoras que no cumplan con los requisitos recibirán una advertencia y se les concederá acceso, se les permitirá el acceso a recursos limitados de la red o se les negará el acceso por completo. Opcionalmente, NAP también puede proporcionar actualizaciones de software a una computadora no compatible para actualizarse al nivel necesario para acceder a la red, utilizando un servidor de reparación . Un cliente conforme recibe un Certificado de salud , que luego utiliza para acceder a recursos protegidos en la red.

Un servidor de políticas de red que ejecuta Windows Server 2008 actúa como servidor de políticas de salud y los clientes deben usar Windows XP SP3 o posterior. Un servidor VPN , un servidor RADIUS o un servidor DHCP también pueden actuar como servidor de políticas de salud.

Otras características de seguridad relacionadas con las redes

• Las interfaces para la seguridad TCP/IP (filtrado para el tráfico del host local), el enlace del firewall, el enlace del filtro y el almacenamiento de información del filtro de paquetes han sido reemplazados por un nuevo marco conocido como Plataforma de filtrado de Windows (WFP). WFP proporciona capacidad de filtrado en todas las capas de la pila del protocolo TCP/IP. WFP está integrado en la pila y es más fácil para los desarrolladores crear controladores, servicios y aplicaciones que deben filtrar, analizar o modificar el tráfico TCP/IP.
• Para brindar mayor seguridad al transferir datos a través de una red, Windows Vista proporciona mejoras en los algoritmos criptográficos utilizados para ofuscar datos. La compatibilidad con algoritmos Diffie-Hellman (DH) de curva elíptica de 256 bits y 384 bits , así como con el estándar de cifrado avanzado (AES) de 128 bits, 192 bits y 256 bits, se incluye en la propia pila de red y en el Protocolo Kerberos y mensajes GSS . El soporte directo para conexiones SSL y TLS en la nueva API de Winsock permite que las aplicaciones de socket controlen directamente la seguridad de su tráfico a través de una red (como proporcionar políticas y requisitos de seguridad para el tráfico, consultar configuraciones de seguridad) en lugar de tener que agregar código adicional para admitir una conexión segura. conexión. Las computadoras que ejecutan Windows Vista pueden ser parte de redes lógicamente aisladas dentro de un dominio de Active Directory . Sólo las computadoras que estén en la misma partición de red lógica podrán acceder a los recursos del dominio. Aunque otros sistemas puedan estar físicamente en la misma red, a menos que estén en la misma partición lógica, no podrán acceder a los recursos particionados. Un sistema puede ser parte de múltiples particiones de red. Schannel SSP incluye nuevos conjuntos de cifrado que admiten criptografía de curva elíptica , por lo que los conjuntos de cifrado ECC se pueden negociar como parte del protocolo de enlace TLS estándar. La interfaz Schannel se puede conectar, por lo que combinaciones avanzadas de conjuntos de cifrado pueden sustituir un nivel superior de funcionalidad.
• IPsec ahora está completamente integrado con Windows Firewall y ofrece configuración simplificada y autenticación mejorada. IPsec admite IPv6, incluido soporte para intercambio de claves de Internet (IKE), AuthIP y cifrado de datos, protección de cliente a DC , integración con protección de acceso a red y soporte de marco de diagnóstico de red. Para aumentar la seguridad y la capacidad de implementación de las VPN IPsec , Windows Vista incluye AuthIP , que extiende el protocolo criptográfico IKE para agregar características como autenticación con múltiples credenciales, negociación de métodos alternativos y autenticación asimétrica. ^[17]
• La seguridad de las redes inalámbricas se está mejorando con un mejor soporte para estándares inalámbricos más nuevos como 802.11i ( WPA2 ). EAP Transport Layer Security (EAP-TLS) es el modo de autenticación predeterminado. Las conexiones se realizan al nivel de conexión más seguro admitido por el punto de acceso inalámbrico. WPA2 se puede utilizar incluso en modo ad hoc. Windows Vista mejora la seguridad al unirse a un dominio a través de una red inalámbrica. Puede utilizar el inicio de sesión único para utilizar las mismas credenciales para unirse a una red inalámbrica, así como al dominio alojado dentro de la red. ^[18] En este caso, se utiliza el mismo servidor RADIUS para la autenticación PEAP para unirse a la red y la autenticación MS-CHAP v2 para iniciar sesión en el dominio. También se puede crear un perfil inalámbrico de arranque en el cliente inalámbrico, que primero autentica la computadora en la red inalámbrica y se une a la red. En esta etapa, la máquina todavía no tiene acceso a los recursos del dominio. La máquina ejecutará un script, almacenado en el sistema o en una memoria USB, que lo autentica en el dominio. La autenticación se puede realizar mediante una combinación de nombre de usuario y contraseña o certificados de seguridad de un proveedor de infraestructura de clave pública (PKI) como VeriSign .
• Windows Vista también incluye un marco de host de protocolo de autenticación extensible (EAPHost) que proporciona extensibilidad para los métodos de autenticación para tecnologías de acceso a redes protegidas de uso común, como 802.1X y PPP. ^[19] Permite a los proveedores de redes desarrollar e instalar fácilmente nuevos métodos de autenticación conocidos como métodos EAP.
• Windows Vista admite el uso de PEAP con PPTP . Los mecanismos de autenticación admitidos son PEAPv0/EAP-MSCHAPv2 (contraseñas) y PEAP-TLS (tarjetas inteligentes y certificados).
• Windows Vista Service Pack 1 incluye Secure Socket Tunneling Protocol , un nuevo protocolo VPN propiedad de Microsoft que proporciona un mecanismo para transportar el tráfico del protocolo punto a punto (PPP) (incluido el tráfico IPv6 ) a través de un canal SSL .

Funciones específicas de x86-64

• Las versiones de 64 bits de Windows Vista aplican la Prevención de ejecución de datos (DEP) basada en hardware, sin emulación de software alternativa. Esto garantiza que no se utilice el DEP menos efectivo aplicado por software (que solo es un manejo seguro de excepciones y no está relacionado con el bit NX). Además, DEP, de forma predeterminada, se aplica a todas las aplicaciones y servicios de 64 bits en las versiones x86-64 y a aquellas aplicaciones de 32 bits que optan por participar. Por el contrario, en las versiones de 32 bits, el DEP aplicado por software es una opción disponible y De forma predeterminada, está habilitado solo para los componentes esenciales del sistema.
• Una protección de parches del kernel actualizada , también conocida como PatchGuard , evita que el software de terceros, incluidos los controladores en modo kernel, modifique el kernel o cualquier estructura de datos utilizada por el kernel, de cualquier manera; si se detecta alguna modificación, el sistema se apaga. Esto mitiga una táctica común utilizada por los rootkits para ocultarse de las aplicaciones en modo de usuario. ^[20] PatchGuard se introdujo por primera vez en la edición x64 de Windows Server 2003 Service Pack 1 y se incluyó en la edición x64 de Windows XP Professional.
• Los controladores en modo kernel en las versiones de 64 bits de Windows Vista deben estar firmados digitalmente; Ni siquiera los administradores podrán instalar controladores en modo kernel sin firmar. ^[21] Hay disponible una opción de tiempo de inicio para deshabilitar esta verificación para una única sesión de Windows. No es necesario firmar digitalmente los controladores en modo de usuario de 64 bits.
• Código firmado de sumas de verificación de integridad del código. Antes de cargar los binarios del sistema, se verifica con la suma de verificación para garantizar que no se haya modificado. Los binarios se verifican buscando sus firmas en los catálogos del sistema. El cargador de arranque de Windows Vista comprueba la integridad del kernel, la capa de abstracción de hardware (HAL) y los controladores de inicio. Además del espacio de memoria del kernel, Code Integrity verifica los archivos binarios cargados en un proceso protegido y las bibliotecas dinámicas instaladas en el sistema que implementan funciones criptográficas centrales.

Otras características y cambios

Se han realizado una serie de cambios específicos de seguridad y confiabilidad:

• Se utiliza un cifrado más fuerte para almacenar secretos LSA (registros de dominio almacenados en caché, contraseñas, claves de cifrado EFS, política de seguridad local, auditoría, etc.) ^[22]
• Compatibilidad con el estándar de autenticación IEEE 1667 para unidades flash USB con una revisión para Windows Vista Service Pack 2. ^[23]
• El SSP de Kerberos se ha actualizado para admitir el cifrado AES . ^[24] El SChannel SSP también tiene un cifrado AES más sólido y soporte ECC . ^[25]
• Las políticas de restricción de software introducidas en Windows XP se han mejorado en Windows Vista. ^[26] El nivel de seguridad de usuario Básico está expuesto de forma predeterminada en lugar de estar oculto. El algoritmo de regla hash predeterminado se ha actualizado de MD5 al SHA256 más potente . Las reglas de certificado ahora se pueden habilitar a través del cuadro de diálogo Propiedad de cumplimiento desde la extensión del complemento Políticas de restricción de software.
• Para evitar la eliminación accidental de Windows, Vista no permite formatear la partición de inicio cuando está activa (haciendo clic derecho en la unidad C: y eligiendo "Formatear", o escribiendo "Formatear C:" (sin comillas) en el comando El mensaje generará un mensaje que indica que no se permite formatear este volumen). Para formatear el disco duro principal (el disco que contiene Windows), el usuario debe iniciar la computadora desde un disco de instalación de Windows o elegir el elemento del menú "Reparar su computadora" en las Opciones avanzadas de recuperación del sistema presionando F8 al encender la computadora.
• Las configuraciones adicionales de EFS permiten configurar cuándo se actualizan las políticas de cifrado, si los archivos movidos a carpetas cifradas están cifrados, el cifrado de archivos en caché de Archivos sin conexión y si la Búsqueda de Windows puede indexar los elementos cifrados .
• La función Nombres de usuarios y contraseñas almacenados (Administrador de credenciales) incluye un nuevo asistente para realizar copias de seguridad de nombres de usuarios y contraseñas en un archivo y restaurarlos en sistemas que ejecutan Windows Vista o sistemas operativos posteriores.
• Una nueva configuración de política en la Política de grupo permite mostrar la fecha y hora del último inicio de sesión interactivo exitoso y el número de intentos fallidos de inicio de sesión desde el último inicio de sesión exitoso con el mismo nombre de usuario. Esto permitirá al usuario determinar si la cuenta se utilizó sin su conocimiento. La política se puede habilitar para usuarios locales así como para computadoras unidas a un dominio de nivel funcional.
• La Protección de recursos de Windows evita cambios de configuración del sistema potencialmente dañinos ^[27] al evitar cambios en los archivos y configuraciones del sistema mediante cualquier proceso que no sea Windows Installer . Además, se bloquean los cambios en el registro realizados por software no autorizado.
• Internet Explorer en modo protegido: Internet Explorer 7 y versiones posteriores introducen varios cambios de seguridad, como filtro de phishing, activación de ActiveX , protección de manejo de URL, protección contra ataques de scripts entre dominios y suplantación de barra de estado. Se ejecutan como un proceso de baja integridad en Windows Vista, pueden escribir sólo en la carpeta Archivos temporales de Internet y no pueden obtener acceso de escritura a archivos y claves de registro en el perfil de un usuario, protegiendo al usuario de contenido malicioso y vulnerabilidades de seguridad, incluso en controles ActiveX. . Además, Internet Explorer 7 y versiones posteriores utilizan la API de protección de datos ( DPAPI ), más segura, para almacenar sus credenciales, como contraseñas, en lugar del menos seguro Almacenamiento protegido (PStore) .
• Integración del reconocimiento de ubicación de red con el Firewall de Windows. Todas las redes recién conectadas se configuran de forma predeterminada en "Ubicación pública", lo que bloquea los puertos y servicios de escucha. Si una red está marcada como confiable, Windows recuerda esa configuración para futuras conexiones a esa red.
• User-Mode Driver Framework evita que los controladores accedan directamente al kernel, sino que acceden a él a través de una API dedicada. Esta nueva característica es importante porque la mayoría de las fallas del sistema se deben a controladores de dispositivos de terceros instalados incorrectamente. ^[28]
• El Centro de seguridad de Windows se ha actualizado para detectar e informar la presencia de software antimalware , así como para monitorear y restaurar varias configuraciones de seguridad de Internet Explorer y el Control de cuentas de usuario. Para el software antivirus que se integra con Security Center , presenta la solución para solucionar cualquier problema en su propia interfaz de usuario. Además, se agregaron algunas llamadas a la API de Windows para permitir que las aplicaciones recuperen el estado de salud agregado del Centro de seguridad de Windows y reciban notificaciones cuando el estado de salud cambie.
• El almacenamiento protegido (PStore) ha quedado obsoleto y, por lo tanto, es de solo lectura en Windows Vista. Microsoft recomienda usar DPAPI para agregar nuevos elementos de datos de PStore o administrar los existentes. ^[29] Internet Explorer 7 y posteriores también utilizan DPAPI en lugar de PStore para almacenar sus credenciales.
• La cuenta de administrador integrada está deshabilitada de forma predeterminada en una instalación limpia de Windows Vista. Tampoco se puede acceder desde el modo seguro siempre que haya al menos una cuenta de administrador local adicional.

Ver también

• La seguridad informática

Referencias

1. Steve Lipner, Michael Howard (marzo de 2005). "El ciclo de vida de desarrollo de seguridad informática confiable". Red de desarrolladores de Microsoft . Consultado el 15 de febrero de 2006 .
2. Carlos (5 de marzo de 2007). "UAC - Qué. Cómo. Por qué" (vídeo) . Consultado el 23 de marzo de 2007 .
3. "Guía paso a paso de cifrado de unidad BitLocker de Windows Vista Beta 2". Microsoft Technet. 2005 . Consultado el 13 de abril de 2006 .
4. "Guía paso a paso de administración del módulo de plataforma confiable de Windows". Technet . Microsoft . Consultado el 18 de noviembre de 2014 .
5. "Clase Win32_Tpm". MSDN . Microsoft . Consultado el 18 de noviembre de 2014 .
6. "Servicios básicos de TPM". MSDN . Microsoft . Consultado el 18 de noviembre de 2014 .
7. La edición de enero de 2006 de The Cable Guy cubre con mayor detalle las nuevas funciones e interfaces de Windows Firewall.
8. "Guía paso a paso para controlar la instalación del dispositivo mediante la política de grupo". MSDN . Microsoft . 11 de mayo de 2010.
9. "Administración de restricciones de hardware mediante política de grupo". Revista TechNet . Microsoft . 8 de septiembre de 2016.
10. Howard, Michael (26 de mayo de 2006). "Aleatorización del diseño del espacio de direcciones en Windows Vista". MSDN . Microsoft . Archivado desde el original el 29 de mayo de 2006 . Consultado el 20 de marzo de 2023 .
11. "Avances en seguridad en Windows Vista". Archivado desde el original el 11 de abril de 2007 . Consultado el 10 de abril de 2007 .
12. "Protección del contenido de salida y Windows Vista". WHDC . Microsoft. 27 de abril de 2005. Archivado desde el original el 6 de agosto de 2005 . Consultado el 30 de abril de 2006 .
13. Procesos protegidos en Windows Vista
14. "Mejoras en la seguridad y protección de datos de Windows Vista: refuerzo del servicio de Windows". Technet . Microsoft. 1 de junio de 2005 . Consultado el 21 de mayo de 2006 .
15. El impacto del aislamiento de la sesión 0 en los servicios y controladores de Windows Vista cubre los cambios en el aislamiento de la sesión de Windows Vista.
16. Eliminar propiedades e información personal: ¡una característica engañosa!
17. AuthIP en Windows Vista
18. The Cable Guy: inicio de sesión único inalámbrico
19. EAPHost en Windows
20. Field, Scott (11 de agosto de 2006). "Introducción a la protección de parches del kernel". Blog de seguridad de Windows Vista . Blogs de MSDN . Consultado el 12 de agosto de 2006 .
21. "Firmas digitales para módulos de kernel en sistemas basados ​​en x64 que ejecutan Windows Vista". WHDC . Microsoft. 19 de mayo de 2006. Archivado desde el original el 12 de abril de 2006 . Consultado el 19 de mayo de 2006 .
22. Secretos de Windows LSA
23. Hay una actualización disponible que permite la compatibilidad con dispositivos de almacenamiento mejorado en Windows Vista y Windows Server 2008.
24. Mejoras de Kerberos en Windows Vista: MSDN
25. Mejoras criptográficas TLS/SSL en Windows Vista
26. Uso de políticas de restricción de software para protegerse contra software no autorizado
27. Funciones de administración de Windows Vista
28. CNET.com (2007). "Revisión definitiva de Windows Vista" . Consultado el 31 de enero de 2007 .
29. "Desuso de SPAP (PStore)". Archivado desde el original el 21 de abril de 2008 . Consultado el 17 de abril de 2007 .

enlaces externos

• Vulnerabilidades de Vista de SecurityFocus