Seguridad en Windows 7: Plataforma fundamentalmente segura
1. SEGURIDAD EN WINDOWS XP
Desarrollado sobre la base de la seguridad de Windows Vista, Windows 7 es la respuesta a los
comentarios de los clientes que solicitaban que el sistema fuera más fácil de usar y administrar, y
que contuviera las mejoras de seguridad adecuadas para ayudar a luchar contra el panorama de
amenazas que evoluciona continuamente. Este documento presenta las mejoras de seguridad más
importantes de Windows 7 y se divide en cuatro secciones:
Plataforma fundamentalmente segura: Windows 7 se basa en las excelentes mejoras de
seguridad introducidas por primera vez en Windows Vista y responde a los comentarios de
los clientes para que el sistema sea más fácil de usar y administrar.
Acceso seguro desde cualquier equipo: Windows 7 proporciona los controles de seguridad
apropiados para que los usuarios puedan tener acceso a la información que necesitan para
ser productivos, en cualquier momento y sin importar si están en la oficina o en otra
ubicación.
Protección de los usuarios y la infraestructura: Windows 7 proporciona protección de
seguridad flexible contra malware e intrusiones para que los usuarios puedan lograr el
equilibrio deseado entre seguridad, control y productividad.
Protección de datos contra la visualización no autorizada: Windows 7 amplía el Cifrado
de unidad BitLocker™ para proteger los datos almacenados en medios portátiles (por
ejemplo, unidades flash USB, discos duros USB portátiles) de modo que solo los usuarios
autorizados puedan leer los datos, incluso si se pierden los medios, los roban o se usan
incorrectamente.
Plataforma fundamentalmente segura
Windows 7 se basa en el linaje de seguridad de alto nivel de Windows Vista y conserva todas las
tecnologías y los procesos de desarrollo que convirtieron a Windows Vista en la versión más segura
del cliente Windows hasta la fecha. Las características de seguridad fundamentales como la
protección contra las revisiones del kernel, el sistema de protección de servicios, la prevención de
ejecución de datos, ASLR (AddressSpaceLayoutRandomization) y los niveles de integridad
obligatorios continúan proporcionando protección mejorada contra el malware y los ataques.
Windows 7 se diseñó y desarrolló con el ciclo de vida de desarrollo de seguridad (SDL) de Microsoft,
y se ha diseñado para satisfacer los requisitos de criterios comunes con el objetivo de lograr la
certificación de nivel 4 de comprobación de la evaluación y cumplir el estándar federal de
procesamiento de información 140-2. A partir de la sólida base de seguridad de Windows Vista,
Windows 7 implementa mejoras importantes en las principales tecnologías de seguridad de
auditoría de eventos y en el Control de cuentas de usuario.
Auditoría mejorada
Windows 7 ofrece capacidades mejoradas de auditoría para que la organización pueda satisfacer
más fácilmente los requisitos de cumplimiento comerciales y regulatorios. Las mejoras de auditoría
comienzan con un enfoque de administración simplificada para configuraciones de auditoría y
2. finalizan ofreciendo una mayor visibilidad de lo que sucede en la organización. Por ejemplo,
Windows 7 proporciona información más detallada para comprender exactamente por qué un
usuario tiene acceso a determinada información, por qué se le denegó a alguien el acceso a cierta
información y todos los demás cambios efectuados por grupos o usuarios específicos.
UAC simplificado
El Control de cuentas de usuario (UAC) se incorporó a Windows Vista para aumentar la seguridad y
mejorar el costo total de propiedad al permitir que la implementación del sistema operativo sin
privilegios administrativos. Windows 7 continúa la inversión en UAC con cambios específicos para
mejorar la experiencia del usuario: desde reducir la cantidad de aplicaciones y tareas del sistema
operativo que requieren privilegios administrativos hasta un comportamiento de solicitud de
consentimiento flexible para aquellos usuarios que aún se ejecutan con privilegios administrativos.
El resultado es que los usuarios estándar pueden realizar más acciones que nunca y todos los
usuarios verán menos mensajes.
Figura 1: Control de cuentas de usuario
Compatibilidad con dispositivos de seguridad
Windows 7 simplifica el proceso de conexión de los dispositivos de seguridad a su PC, facilita la
administración de los dispositivos en uso y permite tener acceso fácilmente a las tareas comunes
relacionadas con los dispositivos. Desde la instalación inicial hasta el uso diario, los dispositivos de
seguridad nunca han sido tan fáciles de usar en su entorno.
3. Dispositivos de almacenamiento con seguridad mejorada
El uso ampliamente extendido de unidades flash USB y demás dispositivos de almacenamiento
personales aumenta la preocupación de los usuarios por la seguridad de la información almacenada
en dichos dispositivos. No obstante, algunos usuarios no requieren las completas características de
cifrado de datos de BitLockerToGo™. Windows 7 ofrece compatibilidad para protección con
contraseña y autenticación basada en certificados para los dispositivos de almacenamiento USB que
cumplen con IEEE 1667. Los usuarios pueden usar la protección con contraseña de los dispositivos
de almacenamiento compatibles con IEEE 1667 para mantener la privacidad de los datos y evitar su
revelación accidental.
Inicio de sesión y lectores de huellas digitales integrados
Los escáneres de huellas digitales son cada vez más comunes en las configuraciones estándar de los
equipos portátiles y Windows 7 garantiza su correcto funcionamiento. Es muy sencillo instalar y
comenzar a usar un lector de huellas digitales; además, en los distintos proveedores de hardware,
resulta más confiable iniciar sesión en Windows con una huella digital. La configuración de un lector
de huellas digitales es fácil de modificar, por lo que puede controlar cómo iniciar sesión en
Windows 7 y administrar los datos de huellas digitales almacenados en el equipo.
Compatibilidad mejorada de tarjetas inteligentes
La autenticación basada en contraseña tiene las consabidas limitaciones de seguridad; sin embargo,
la implementación de tecnologías de autenticación seguras sigue siendo un desafío para muchas
organizaciones. Basándose en los avances en la infraestructura de tarjetas inteligentes realizados en
Windows Vista, Windows 7 simplifica la implementación de tarjetas inteligentes a través de la
compatibilidad con Plug and Play. Los controladores requeridos para admitir tarjetas inteligentes y
lectores de tarjetas inteligentes se instalan automáticamente, sin la necesidad de permisos
administrativos ni de la interacción de los usuarios, lo que facilita la implementación de una
autenticación de dos factores segura en la empresa. Además, Windows 7 amplía la compatibilidad
de la plataforma de PKINIT (RFC 5349) para incluir tarjetas inteligentes basadas en ECC, lo que
permite el uso de certificados de curva elíptica en tarjetas inteligentes para el inicio de sesión de
Windows.
Acceso seguro desde cualquier equipo
Windows 7 proporciona los controles de seguridad apropiados para que los usuarios puedan tener
acceso a la información que necesitan para ser productivos, en cualquier momento y sin importar si
están en la oficina o en otra ubicación. Además de ofrecer compatibilidad total para las tecnologías
existentes, como la Protección de acceso a redes, Windows 7 ofrece un firewall más flexible,
compatibilidad con seguridad DNS y un paradigma totalmente nuevo en acceso remoto.
Compatibilidad con DNSSec
El Sistema de nombres de dominio (DNS) es un protocolo esencial que admite muchas de las
actividades diarias en Internet, entre ellas, la entrega de correo electrónico, la exploración web y la
mensajería instantánea. Sin embargo, el sistema DNS se diseñó hace más de tres décadas, sin las
4. preocupaciones de seguridad a las que nos enfrentamos hoy día. Extensiones de seguridad DNS
(DNSSEC) es un conjunto de extensiones para DNS que proporciona los servicios de seguridad
necesarios para Internet en la actualidad. Windows 7 es compatible con DNSSEC, tal como se
especifica en las RFC 4033, 4034 y 4035, lo que ofrece a las organizaciones la confianza de que no
se ha suplantado la identidad de los registros de nombres de dominio y les ayuda a protegerse
contra actividades malintencionadas.
Múltiples directivas de firewall activas
En Windows Vista, la directiva de firewall se basa en el "tipo" de conexión de red establecida: red
doméstica, de trabajo, pública o de dominio (que es un cuarto tipo oculto). No obstante, esto puede
presentar obstáculos de seguridad para los profesionales de TI cuando, por ejemplo, un usuario
conectado a Internet a través de una red "doméstica" usa una red privada virtual para tener acceso
a la red corporativa. En tal caso, debido a que el tipo de red (y, por ende, la configuración de
firewall) se estableció en función de la primera red a la que se conectó el usuario, no se pudo aplicar
la configuración de firewall apropiada para tener acceso a la red corporativa.
Windows 7 libera a los profesionales de TI de este problema mediante la admisión de varias
directivas de firewall activas, que permite que PCs obtengan y apliquen información de perfil de
firewall del dominio sin importar si hay otras redes activas en sus PCs. Mediante estas capacidades,
que se encuentran entre las características principales que solicitan los clientes empresariales, los
profesionales de TI pueden simplificar las directivas de seguridad y conectividad al conservar un
único conjunto de reglas para clientes remotos y clientes que están físicamente conectados a la red
corporativa.
5. Figura 2:Firewall de Windows
DirectAccess
Con Windows 7, trabajar fuera de la oficina es cada vez más simple. DirectAccess permite a los
usuarios remotos tener acceso a la red corporativa siempre que se conecten a Internet, sin tener
que iniciar una conexión VPN, y, de este modo, aumentar su productividad cuando están fuera de la
oficina. Para los profesionales de TI, DirectAccess ofrece una infraestructura de red corporativa más
segura y flexible para administrar y actualizar de forma remota PCs de usuarios. DirectAccess
simplifica la administración de TI al proporcionar una infraestructura "siempre administrada", en la
que los equipos que se encuentran dentro y fuera de la red pueden mantenerse en buenas
condiciones, administrados y actualizados.
DirectAccess permite a los profesionales de TI controlar exhaustivamente los recursos de red a los
que los usuarios pueden tener acceso. Por ejemplo, la configuración de directiva de grupo puede
usarse para administrar el acceso de usuarios remotos a las aplicaciones empresariales. DirectAccess
también separa el tráfico de Internet del acceso a los recursos de redes internas, de forma que los
usuarios puedan tener acceso a sitios web públicos sin generar tráfico de comunicaciones adicional
en la red corporativa.
6. Lo mejor de todo es que DirectAccess se basa en los estándares de la industria, como IPv6 e IPsec,
para garantizar que las comunicaciones de la empresa sean seguras.
Protección de los usuarios y la infraestructura
Windows 7 proporciona protección de seguridad flexible contra malware e intrusiones para que los
usuarios puedan lograr el equilibrio deseado entre seguridad, control y productividad. AppLocker™
e Internet Explorer® 8 son dos ejemplos clave de inversiones en tecnología que elevan la
protección del sistema operativo contra la intrusión de malware en Windows 7.
AppLocker
Windows 7 vuelve a dinamizar las directivas de control de aplicaciones con AppLocker: un
mecanismo flexible y fácil de administrar que permite al equipo de TI especificar exactamente qué
está permitido ejecutar en la infraestructura de escritorio y otorga a los usuarios la capacidad de
ejecutar aplicaciones, programas de instalación y scripts que necesitan para ser productivos. Como
consecuencia, el equipo de TI puede aplicar la normalización de aplicaciones dentro de la
organización a la vez que proporciona ventajas en cuanto a seguridad, funcionalidad y
compatibilidad.
7. Figura 3: AppLocker
AppLocker ofrece estructuras de reglas simples y eficaces e introduce reglas de publicador: reglas
basadas en firmas digitales de aplicaciones. Las reglas de publicador permiten crear reglas que
sobrevivan a las actualizaciones de la aplicación al poder especificar atributos como la versión de
una aplicación. Por ejemplo, una organización puede crear una regla para "permitir que todas las
versiones superiores a la 9.0 del programa Acrobat Reader se ejecuten si están firmadas por el
editor de software Adobe". Ahora cuando Adobe actualice Acrobat, se puede implementar de forma
segura la actualización de una aplicación sin tener que crear otra regla para la versión nueva de la
aplicación.
Internet Explorer 8
Internet Explorer 8 ofrece protección mejorada contra amenazas de seguridad y privacidad, que
incluye la capacidad de identificar sitios malintencionados y bloquear la descarga de software
malintencionado. La privacidad se mejora mediante la capacidad de navegar por Internet sin dejar
un rastro en un equipo compartido y gracias a más opciones y un mayor control sobre la forma en
la que los sitios web pueden realizar un seguimiento de las acciones de los usuarios. Internet
Explorer 8 también ayuda a inspirar confianza mediante unas restricciones mejoradas de los
8. controles ActiveX®, una administración optimizada de complementos, una confiabilidad mejorada
(incluidas la restauración de pestañas y la recuperación automática tras bloqueo) y una
compatibilidad mejorada con los estándares de accesibilidad.
Protección de datos contra la visualización no autorizada
Cada año, se pierden, se roban o se retiran cientos de miles de equipos sin las medidas de
seguridad apropiadas. Sin embargo, la fuga de datos no es solo un problema del equipo físico. La
ubicuidad de las unidades flash USB, las comunicaciones por correo electrónico, la documentación
perdida, etc. proporcionan otras vías posibles para que los datos caigan en malas manos.
Windows 7 conserva las tecnologías de protección de datos disponibles en Windows Vista como el
sistema de cifrado de archivos (EFS), la tecnología integrada Active Directory® Rights Management
Services y los controles de puertos USB granulares. Además de las actualizaciones incrementales en
estas tecnologías, Windows 7 ofrece varias mejoras importantes para la popular tecnología de
Cifrado de unidad BitLocker.
BitLocker y BitLockerToGo
Windows 7 resuelve la constante amenaza de fuga de datos con capacidad de administración y
actualizaciones de implementación del Cifrado de unidad BitLocker y la incorporación de
BitLockerToGo: protección de datos mejorada contra la exposición y el robo de datos al extender la
compatibilidad de BitLocker a los dispositivos de almacenamiento extraíbles. La extensión de la
compatibilidad con BitLocker a los volúmenes de datos FAT permite admitir una variedad más
amplia de dispositivos y formatos de discos, incluidas unidades flash USB y unidades de disco
portátiles. Esto permitirá a los usuarios implementar BitLocker para un rango más amplio de
necesidades de protección de datos.
Tanto si debe viajar con su equipo portátil, como compartir archivos de gran tamaño con un
asociado de confianza o llevarse trabajo al hogar, los dispositivos protegidos mediante BitLocker y
BitLockerToGo ayudan a garantizar que solo los usuarios autorizados puedan leer los datos, incluso
si se pierden, roban o se usan incorrectamente los medios. Lo mejor de todo es que la protección
de BitLocker es fácil de implementar e intuitiva para el usuario final, y ayuda a mejorar el
cumplimiento de las normas y la seguridad de los datos.
BitLockerToGo también permite a los administradores controlar cómo pueden usarse los
dispositivos de almacenamiento extraíbles dentro del entorno y el nivel de seguridad de la
protección que requieren. Los administradores pueden requerir protección de datos para cualquier
dispositivo de almacenamiento extraíble en que los usuarios deseen escribir datos y, a su vez,
permitir que los dispositivos de almacenamiento no protegidos se usen en modo de solo lectura.
También hay disponibles directivas para requerir contraseñas seguras, una tarjeta inteligente o
credenciales de usuario de dominio para usar un dispositivo de almacenamiento extraíble
protegido. Por último, BitLockerToGo ofrece compatibilidad de solo lectura configurable para
dispositivos extraíbles en versiones anteriores de Windows, lo que permite compartir de forma más
segura archivos con usuarios que aún ejecutan Windows Vista y Windows XP.
9. Figura 4: Cifrado de unidad BitLocker
Conclusión
Desarrollado sobre la base de la seguridad de Windows Vista, Windows 7 incorpora las mejoras de
seguridad adecuadas para brindarles a los usuarios la confianza de que Microsoft les ayuda a estar
protegidos. Las empresas se beneficiarán de las mejoras que ayudan a proteger la información
confidencial de la empresa, que ofrecen mayor protección contra malware y que permiten proteger
el acceso a los datos y a los recursos corporativos desde cualquier lugar. Los consumidores pueden
disfrutar de los beneficios de los equipos y de Internet con la certeza de que Windows 7 es lo último
en cuanto a protección de la privacidad y la información personal. Por último, todos los usuarios se
beneficiarán de las opciones de configuración flexibles y reconocibles de la seguridad de
Windows 7, que permiten que todos logren el equilibrio justo entre seguridad y capacidad de uso
para su situación en particular.