¿Cómo configura las PC con Windows 10 para evitar problemas
de seguridad comunes? Desafortunadamente, no hay una solución mágica para el
software y las herramientas son diferentes para las pequeñas empresas y las
empresas. Esto es lo que hay que tener en cuenta.
Es tentador pensar que el proceso de asegurar un dispositivo
con Windows 10 puede reducirse a una simple lista de verificación. Instale
algún software de seguridad, ajuste algunas configuraciones, lleve a cabo una o
dos sesiones de entrenamiento y podrá pasar al siguiente elemento de su lista
de tareas pendientes.
Por desgracia, el mundo real es mucho más complicado que
eso.
No hay una solución mágica para el software, y su
configuración inicial simplemente establece una línea de base de seguridad. Una
vez que se completa la configuración inicial, la seguridad requiere vigilancia
continua y esfuerzo continuo. Gran parte del trabajo de asegurar un dispositivo
con Windows 10 se aleja del propio dispositivo. Una política de seguridad bien
planificada presta atención al tráfico de red, las cuentas de correo
electrónico, los mecanismos de autenticación, los servidores de administración
y otras conexiones externas.
Esta guía cubre un amplio espectro de casos de uso
empresarial, con cada encabezado que discute un problema que los responsables
de la toma de decisiones deben considerar al implementar PC con Windows 10. Y
aunque cubre muchas opciones que están disponibles, esta no es una guía
práctica.
En una gran empresa, su personal de TI debe incluir
especialistas en seguridad que puedan administrar estos pasos. En una pequeña
empresa sin personal de TI dedicado, subcontratar estas responsabilidades a un
consultor con la experiencia necesaria podría ser el mejor enfoque.
Sin embargo, antes de tocar una única configuración de
Windows, tómese un tiempo para realizar una evaluación de amenazas. En
particular, tenga en cuenta sus responsabilidades legales y reglamentarias en
caso de una violación de datos u otro evento relacionado con la seguridad. Para
las empresas que están sujetas a los requisitos de cumplimiento, querrá
contratar a un especialista que conozca su sector y pueda garantizar que sus
sistemas cumplan con todos los requisitos aplicables.
Las siguientes categorías se aplican a empresas de todos los
tamaños.
GESTIONANDO ACTUALIZACIONES
La configuración de seguridad más importante para cualquier
PC con Windows 10 es garantizar que las actualizaciones se instalen en un
horario regular y predecible. Por supuesto, esto se aplica a todos los
dispositivos informáticos modernos, pero el modelo de "Windows como
servicio" que Microsoft introdujo con Windows 10 cambia la forma en que
administra las actualizaciones.
Vea también: Aquí es cómo Microsoft puede solucionar sus
problemas de actualización de Windows 10
Sin embargo, antes de comenzar, es importante comprender los
diferentes tipos de actualizaciones de Windows 10 y cómo funcionan.
Las actualizaciones de calidad se entregan mensualmente a
través de Windows Update. Abordan los problemas de seguridad y confiabilidad y
no incluyen nuevas funciones. (Estas actualizaciones también incluyen parches
para fallas de microcódigo en los procesadores Intel).
Todas las actualizaciones de calidad son acumulativas, por
lo que ya no tiene que descargar docenas o incluso cientos de actualizaciones
después de realizar una instalación limpia de Windows 10. En su lugar, puede
instalar la última actualización acumulativa y estará completamente
actualizado.
Las actualizaciones de funciones son el equivalente de lo
que se solía llamar actualizaciones de versión. Incluyen nuevas funciones y
requieren una descarga de varios gigabytes y una configuración completa. Las
actualizaciones de características de Windows 10 se lanzan dos veces al año, en
abril y octubre, y también se entregan a través de Windows Update.
De forma predeterminada, los dispositivos con Windows 10
descargan e instalan actualizaciones tan pronto como están disponibles en los
servidores de actualización de Microsoft. En los dispositivos que ejecutan
Windows 10 Home, no hay una forma compatible de controlar cuándo se instalan
las actualizaciones. Sin embargo, los administradores pueden ejercer cierto
control sobre cuándo se instalan las actualizaciones en las PC que ejecutan las
ediciones comerciales de Windows 10.
Al igual que con todas las decisiones de seguridad, elegir
cuándo instalar actualizaciones implica un compromiso. La instalación de
actualizaciones inmediatamente después de su lanzamiento ofrece la mejor
protección; la postergación de las actualizaciones hace posible minimizar el
tiempo de inactividad no programado asociado con esas actualizaciones.
Con las funciones de Windows Update for Business integradas
en las ediciones Windows 10 Pro, Enterprise y Education, puede aplazar la
instalación de actualizaciones de calidad hasta por 30 días. También puede
retrasar las actualizaciones de funciones hasta dos años, dependiendo de la
edición.
Aplazar las actualizaciones de calidad entre siete y 15 días
es una forma de bajo riesgo de evitar el riesgo de una actualización defectuosa
que puede causar problemas de estabilidad o compatibilidad. Puede ajustar la
configuración de Windows Update for Business en PC individuales usando los
controles en Configuración> Actualización y seguridad> Opciones
avanzadas.
En organizaciones más grandes, los administradores pueden
aplicar la configuración de Windows Update para empresas utilizando el software
de directiva de grupo o de administración de dispositivos móviles (MDM).
También puede administrar las actualizaciones de forma centralizada mediante
una herramienta de administración como System Center Configuration Manager o
Windows Server Update Services.
Finalmente, su estrategia de actualización de software no
debería detenerse en el propio Windows. Asegúrese de que las actualizaciones
para las aplicaciones de Windows, incluidas las aplicaciones de Microsoft
Office y Adobe, se instalen automáticamente.
IDENTIDAD Y GESTIÓN DE CUENTAS DE USUARIO
Cada PC con Windows 10 requiere al menos una cuenta de
usuario, que a su vez está protegida por una contraseña y mecanismos de
autenticación opcionales. La forma en que configura esa cuenta (y cualquier
cuenta secundaria) contribuye en gran medida a garantizar la seguridad del
dispositivo.
Los dispositivos que ejecutan una edición empresarial de
Windows 10 (Pro, Enterprise o Education) se pueden unir a un dominio de
Windows. En esa configuración, los administradores de dominio tienen acceso a
las funciones de Active Directory y pueden autorizar a los usuarios, grupos y
computadoras a acceder a recursos locales y de red. Si es un administrador de
dominio, puede administrar PC con Windows 10 usando el conjunto completo de
herramientas de Active Directory basadas en servidor.
Para las PC con Windows 10 que no están unidas a un dominio,
como es el caso en la mayoría de las pequeñas empresas, puede elegir entre tres
tipos de cuenta:
Las cuentas locales utilizan credenciales que se almacenan
solo en el dispositivo.
Las cuentas de Microsoft son gratuitas para el uso del
consumidor y permiten la sincronización de datos y configuraciones en PC y
dispositivos; También admiten la autenticación de dos factores y las opciones
de recuperación de contraseña.
Las cuentas de Azure Active Directory (Azure AD) están
asociadas con un dominio personalizado y se pueden administrar de forma
centralizada. Las funciones básicas de Azure AD son gratuitas y están incluidas
con las suscripciones de Office 365 Business y Enterprise; Las funciones
adicionales de Azure AD están disponibles como actualizaciones de pago.
La primera cuenta en una PC con Windows 10 es miembro del
grupo de administradores y tiene el derecho de instalar software y modificar la
configuración del sistema. Las cuentas secundarias pueden y deben configurarse
como usuarios estándar para evitar que usuarios no entrenados dañen
inadvertidamente el sistema o instalen software no deseado.
Requerir una contraseña segura es un paso esencial
independientemente del tipo de cuenta. En las redes administradas, los
administradores pueden usar la Política de grupo o el software MDM para aplicar
una política de contraseña de la organización.
Para aumentar la seguridad del proceso de inicio de sesión
en un dispositivo específico, puede usar una función de Windows 10 llamada
Windows Hello. Windows Hello requiere un proceso de verificación de dos pasos
para inscribir el dispositivo en una cuenta de Microsoft, una cuenta de Active
Directory, una cuenta de Azure AD o un proveedor de identidad de terceros que
admita la versión 2.0 de FIDO.
Cuando se completa la inscripción, el usuario puede iniciar
sesión con un PIN o, con el hardware compatible, la autenticación biométrica,
como una huella dactilar o un reconocimiento facial. Los datos biométricos se
almacenan solo en el dispositivo y previenen una variedad de ataques comunes de
robo de contraseñas. En los dispositivos conectados a cuentas comerciales, los
administradores pueden usar Windows Hello for Business para especificar los
requisitos de complejidad del PIN.
Finalmente, al usar las cuentas de Microsoft o Azure AD en
las PC de negocios, debe configurar la autenticación multifactor (MFA) para
proteger la cuenta de ataques externos. En las cuentas de Microsoft, la
configuración de verificación de dos pasos está disponible en https://account.live.com/proofs. Para
las cuentas de Office 365 Business y Enterprise, un administrador primero debe
habilitar la función desde el portal de Office, luego de lo cual los usuarios
pueden administrar la configuración de MFA yendo a https://account.activedirectory.windowsazure.com/r#/profile.
PROTECCIÓN DE DATOS
La seguridad física es tan importante como las cuestiones
relacionadas con el software o las redes. Una computadora portátil robada, o
una que se deja en un taxi o en un restaurante, puede provocar un riesgo
significativo de pérdida de datos. Para una empresa o una agencia gubernamental,
el impacto puede ser desastroso y las consecuencias son aún peores en las
industrias reguladas o donde las leyes de violación de datos requieren
divulgación pública.
En un dispositivo con Windows 10, el cambio de configuración
más importante que puede hacer es habilitar BitLocker cifrado del dispositivo. (BitLocker es el nombre
de marca que Microsoft usa para las herramientas de cifrado disponibles en las
ediciones comerciales de Windows).
Con BitLocker habilitado, cada bit de datos en el
dispositivo se cifra utilizando el estándar XTS-AES. Con la configuración de la
Política de grupo o las herramientas de administración de dispositivos, puede
aumentar la potencia de cifrado de su configuración predeterminada de 128 bits
a 256 bits.
La habilitación de BitLocker requiere un dispositivo que
incluya un chip del Módulo de plataforma segura (TPM); Todas las PC comerciales
fabricadas en los últimos seis años deberían calificar a este respecto. Además,
BitLocker requiere una edición comercial de Windows 10 (Pro, Enterprise o
Education); La edición Home admite un cifrado de dispositivo sólido, pero solo
con una cuenta de Microsoft, y no permite la administración de un dispositivo
BitLocker.
Para las capacidades de administración completas, también
deberá configurar BitLocker usando una cuenta de Active Directory en un dominio
de Windows o una cuenta de Azure Active Directory. En cualquiera de las
configuraciones, la clave de recuperación se guarda en una ubicación que está
disponible para el dominio o el administrador de AAD.
En un dispositivo no administrado que ejecuta una edición
comercial de Windows 10, puede usar una cuenta local, pero deberá usar las
herramientas de administración de BitLocker para habilitar el cifrado en las
unidades disponibles.
Y no te olvides de cifrar dispositivos de almacenamiento
portátiles. Unidades flash USB. Las tarjetas MicroSD se utilizan como
almacenamiento de expansión y los discos duros portátiles se pierden
fácilmente, pero los datos pueden protegerse de miradas indiscretas con el uso
de BitLocker To Go, que utiliza una contraseña para descifrar el contenido de
la unidad.
En las grandes organizaciones que utilizan Azure Active
Directory, también es posible proteger el contenido de los archivos almacenados
y los mensajes de correo electrónico mediante la Protección de información de
Azure y el servicio de Gestión de derechos de Azure. Esa combinación permite a
los administradores clasificar y restringir el acceso a los documentos creados
en Office y otras aplicaciones, independientemente de su estado de cifrado
local.
BLOQUEO DE CÓDIGO MALICIOSO
A medida que el mundo se ha vuelto más conectado y los
atacantes en línea se han vuelto más sofisticados, el rol del software
antivirus tradicional ha cambiado. En lugar de ser la herramienta principal
para bloquear la instalación de códigos maliciosos, el software de seguridad
ahora es solo otra capa en una estrategia defensiva.
Cada instalación de Windows 10 incluye un antivirus
incorporado, un software antimalware llamado Windows Defender, que se actualiza
utilizando el mismo mecanismo que Windows Update. Windows Defender está
diseñado para ser una función de configuración y olvido y no requiere ninguna
configuración manual. Si instala un paquete de seguridad de terceros, Windows
Defender se hace a un lado y permite que el software detecte y elimine amenazas
potenciales.
Las grandes organizaciones que utilizan la edición Windows
Enterprise pueden implementar Windows Defender Advanced Threat Protection, una
plataforma de seguridad que supervisa los puntos finales, como las PC con
Windows 10 que utilizan sensores de comportamiento. Mediante el análisis basado
en la nube, Windows Defender ATP puede identificar comportamientos sospechosos
y alertar a los administradores sobre posibles amenazas.
Para las empresas más pequeñas, el desafío más importante es
evitar que los códigos maliciosos lleguen a la PC en primer lugar. La tecnología
SmartScreen de Microsoft es otra característica integrada que escanea las
descargas y bloquea la ejecución de aquellas que se sabe que son maliciosas. La
tecnología SmartScreen también bloquea programas no reconocidos, pero permite
al usuario anular esas configuraciones si es necesario.
Vale la pena señalar que SmartScreen en Windows 10 funciona
independientemente de la tecnología basada en navegador, como el servicio de
navegación segura de Google y el servicio de filtro SmartScreen en Microsoft
Edge.
En las PC no administradas, SmartScreen es otra
característica que no requiere configuración manual. Puede ajustar su
configuración usando la configuración de Control de la aplicación y del
navegador en la aplicación Seguridad de Windows en Windows 10.
Otro vector crucial para administrar código potencialmente
malicioso es el correo electrónico, donde los archivos adjuntos y enlaces a
sitios web maliciosos, aparentemente inocuos, pueden resultar en una infección.
Aunque el software de cliente de correo electrónico puede ofrecer cierta
protección a este respecto, el bloqueo de estas amenazas en el nivel del
servidor es la forma más efectiva de prevenir ataques en las PC.
Un enfoque eficaz para evitar que los usuarios ejecuten
programas no deseados (incluido el código malicioso) es configurar una PC con
Windows 10 para que ejecute cualquier aplicación, excepto las que usted
autoriza específicamente. Para ajustar estas configuraciones en una sola PC,
vaya a Configuración> Aplicaciones> Aplicaciones y características; Bajo
el encabezado Instalar aplicaciones, elija Permitir aplicaciones solo de la
tienda. Esta configuración permite que se ejecuten aplicaciones instaladas
anteriormente, pero impide la instalación de cualquier programa descargado
desde fuera de Microsoft Store.
Los administradores pueden configurar esta configuración a
través de una red mediante la Política de grupo: Configuración del equipo>
Plantillas administrativas> Componentes de Windows> Windows Defender
SmartScreen> Explorer> Configurar control de instalación de aplicaciones.
El enfoque más extremo para bloquear una PC con Windows 10
es usar la función de acceso asignado para configurar el dispositivo de modo
que solo pueda ejecutar una aplicación. Si elige Microsoft Edge como la
aplicación, puede configurar el dispositivo para que se ejecute en modo de
pantalla completa bloqueado en un solo sitio o como un navegador público con un
conjunto limitado de funciones.
Para configurar esta función, vaya a Configuración>
Familia y otros usuarios y haga clic en Acceso asignado. (En una PC conectada a
una cuenta de negocios, esta opción se encuentra en Configuración> Otros
usuarios).
REDES
Cada versión de Windows en los últimos 15 años ha incluido
un firewall de inspección de estado. En Windows 10, este cortafuegos está
habilitado de forma predeterminada y no necesita ningún ajuste para que sea
efectivo. Al igual que sus predecesores, el firewall de Windows 10 admite tres
configuraciones de red diferentes: Dominio, Privado y Público. Las aplicaciones
que necesitan acceso a los recursos de la red generalmente pueden configurarse
como parte de la configuración inicial.
Para ajustar la configuración básica del firewall de Windows,
use la pestaña Firewall y Protección de red en la aplicación Seguridad de
Windows. Para obtener un conjunto de herramientas de configuración mucho más
completo y solo para expertos, haga clic en Configuración avanzada para abrir
el tradicional Windows Defender Firewall con la consola de seguridad avanzada.
En las redes administradas, estas configuraciones se pueden controlar a través
de una combinación de Directiva de grupo y configuraciones del lado del
servidor.
Desde un punto de vista de seguridad, las mayores amenazas
basadas en la red a una PC con Windows 10 surgen al conectarse a redes
inalámbricas. Las grandes organizaciones pueden mejorar significativamente la
seguridad de las conexiones inalámbricas al agregar soporte para el estándar
802.1x, que usa controles de acceso en lugar de contraseñas compartidas como en
las redes inalámbricas WPA2. Windows 10 solicitará un nombre de usuario y una
contraseña cuando intente conectarse a este tipo de red y rechazará las
conexiones no autorizadas.
En las redes basadas en el dominio de Windows, puede usar la
función nativa de DirectAccess para permitir el acceso remoto seguro.
Para los momentos en que debe conectarse a una red
inalámbrica no confiable, la mejor alternativa es configurar una red privada
virtual (VPN). Windows 10 es compatible con los paquetes VPN más populares
utilizados en redes corporativas; para configurar este tipo de conexión, vaya a
Configuración> Redes e Internet> VPN. Las pequeñas empresas y las
personas pueden elegir entre una variedad de servicios de VPN de terceros
compatibles con Windows.