Separación y aislamiento de estado

La separación de estado y el aislamiento protegen partes críticas del sistema operativo HoloLens 2 del cambio, como las necesarias para que el sistema operativo arranque en un estado de confianza. Con la tecnología de aislamiento, las aplicaciones que no son de confianza se mueven a un entorno de espacio aislado para asegurarse de que no afectan a la seguridad del sistema.

Separación de estado

La separación de estado en HoloLens 2 mejora considerablemente la seguridad y la capacidad de servicio (actualización) y le ayuda a proteger los datos de la aplicación. La separación de estado funciona de la siguiente manera:

  • El sistema operativo principal se almacena en el volumen Core Operating System (un sistema operativo de Microsoft de confianza o verificado que actualiza el sistema operativo).
  • Las partes del sistema operativo que pueden modificarse en tiempo de ejecución (como controladores y configuraciones descargables) usan una separación de estado adicional para realizar una partición de los datos y almacenarlos en ubicaciones de almacenamiento independientes y seguras.
  • Cada ubicación de almacenamiento segura tiene distintas directivas de seguridad asociadas, lo que ofrece diversas ventajas de seguridad, como se detalla en la siguiente sección.

Ventajas de la separación de estado

  • Seguridad: la separación de estado incluida en HoloLens 2 mejora considerablemente la integridad de la plataforma, la resistencia al software malintencionado y la protección de datos del usuario. Al separar la parte inalterable del sistema operativo y protegerla de solo lectura o integridad, la separación de estado dificulta que el malware persista en un reinicio en frío.
  • Actualizaciones: con HoloLens 2, una vez que el sistema operativo principal no se puede modificar y se ha separado de forma limpia del resto de los datos del dispositivo, las actualizaciones se vuelven simples y confiables. Además, la separación de estado presenta el trabajo preliminar fundamental para actualizaciones mucho más rápidas, lo que permite que el sistema operativo se reemplace en un único paso (unidad atómica).
  • Restablecimiento del dispositivo: el restablecimiento de HoloLens 2 borra los datos generados por el usuario y los datos de la aplicación del usuario en el dispositivo, incluidas las ubicaciones de almacenamiento interno y externo. Conserva las aplicaciones del sistema operativo actuales, las aplicaciones críticas de seguridad y las aplicaciones personalizadas de Microsoft y del OEM actuales (preinstaladas). Es posible rehidratar estas aplicaciones preinstaladas en el dispositivo después de que se complete el restablecimiento.

Estados de la separación de estado

La separación de estado garantiza que los componentes de dispositivo de confianza de Microsoft solo pueden cambiar el sistema operativo y solo se permite conservar el estado de alto valor entre reinicios; otro estado del sistema solo existe durante la sesión de arranque y se descarta después de un reinicio. La separación de estado devuelve rápidamente el dispositivo al estado de fábrica. Los estados de Windows Holographic for Business pueden dividirse en las siguientes categorías:

  • Sistema operativo principal: estado no modificable
  • Datos del sistema operativo: estado modificable
  • Datos del usuario: estado modificable

Cada uno de estos estados operativos de HoloLens 2 se describe en la siguiente sección.

Sistema operativo principal

Un estado inmutable incluye archivos ejecutables y datos que no se pueden modificar y que Microsoft solo puede cambiar durante la instalación de actualizaciones. Durante una de estas actualizaciones del sistema operativo principal, se habilita una nueva imagen que contiene el último estado de funcionamiento deseado. El estado no modificable está marcado como de solo lectura (en caso contrario, se protege su integridad), lo que impide la persistencia de cualquier software malintencionado con privilegios elevados. Los siguientes datos y archivos ejecutables están protegidos en el estado inmutable:

  • Controladores de bandeja de entrada de Windows Holographic
  • Archivos binarios del sistema operativo
  • Controladores de bandeja de entrada de Windows
  • Configuración estática de Windows Holographic almacenada en el subárbol del registro de Windows (HKLM)
    • Ejemplo: HKLM almacena la información de configuración de las aplicaciones instaladas en una máquina. También almacena información para detectar el hardware y los controladores correspondientes. Al protegerlos en el estado inmutable (de solo lectura y con la integridad protegida), garantizamos que el sistema operativo principal siempre arranque en un estado de confianza. Además, cuando se restablece un dispositivo, podemos asegurarnos de que este arranque solo en los componentes que se encuentran en esta sección inmutable.

Datos del sistema operativo

Es importante tener en cuenta que los archivos ejecutables y los datos que se pueden cambiar en tiempo de ejecución (y que no son críticos para la función del sistema operativo), se pueden descartar y volver a crear cuando los datos están dañados o comprometidos. Desde el punto de vista funcional, es necesario que el sistema operativo conserve un estado modificable de alto valor, o que dicho estado persista al apagar el sistema operativo o entre reinicios del sistema operativo Windows compatible o los escenarios de dispositivos. Los siguientes son ejemplos de estado mutable de alto valor:

  • Configuración de dispositivo global configurada por el administrador de TI, como deshabilitar la ubicación para todos los usuarios.
  • La conexión de red Wi-Fi accede a las redes recordadas por los datos del dispositivo y a las contraseñas de conexión asociadas.
  • Volcados de memoria que incluyen configuraciones y registros.
  • Controladores descargados a petición para dispositivos detectados recientemente. Un estado modificable de alto valor en HoloLens 2 se encuentra en la ubicación de seguridad de datos del sistema operativo, ya sea como un archivo guardado en el disco o en un subárbol del registro persistente.

Datos de usuario

La última categoría de estado representa los datos del usuario que producidos o conservados por las aplicaciones para UWP o el sistema operativo. Todas las carpetas de usuario conocidas como Descargas, Documentos, Vídeos, perfiles de usuario y el subárbol HKEY_CURRENT_USER también se almacenan en esta ubicación. Estos datos no se pueden extraer sin credenciales adecuadas; para más información sobre cómo están protegidos los datos, consulte Cifrado y protección de datos.

Aislamiento

Para lograr este equilibrio, HoloLens 2 tiene un sistema operativo principal que se usa para funciones principales, como el arranque, el control de hardware, el registro, etc. Solo hay dos conjuntos de aplicaciones que se ejecutan en el sistema operativo principal: aplicaciones preinstaladas y aplicaciones para UWP.

Firma de código

El código de firma digital permite la justificación de que los ejecutables y los scripts no se han modificado desde que un origen de confianza firmó, lo que proporciona autenticidad e integridad. De manera predeterminada, las autoridades en las que confía HoloLens 2 son Microsoft y Microsoft Store. Los administradores de TI pueden agregar nuevos certificados al dispositivo a través de los CSP ClientCertificateInstall y RootCATrustedCertificates. También pueden usar la directiva AllowAllTrustedApps para confiar en otras aplicaciones transferidas localmente o de línea de negocio. Los certificados residen en el almacén de certificados del equipo local que se almacena en HKLM/Root si se usa "Device" o en HKCU si se usa "User".

Protecciones de Defender

HoloLens 2 usa servicios de Microsoft para ofrecer a los usuarios un nivel avanzado de seguridad:

  • Defender SmartScreen se habilita automáticamente con el sistema operativo en Windows Holographic y protege frente a la suplantación de identidad (phishing) y el software malintencionado, así como frente a la descarga de archivos potencialmente malintencionados, en Edge. El usuario no puede desactivarlo, pero se puede deshabilitar a través de la directiva.

  • Defender Firewall impide que el tráfico de red no autorizado fluya hacia y desde el dispositivo. Está habilitado de forma predeterminada y no configurable por el cliente a través de acciones o directivas locales.

  • Control de aplicaciones de Windows Defender: HoloLens 2 admite WDAC, que permite al administrador de TI insertar directivas de control de aplicaciones en el dispositivo. Puede encontrar más información en Uso de WDAC en dispositivos HoloLens 2 con MSFT Intune.

Los administradores de TI pueden administrar el comportamiento de SmartScreen a través de AllowSmartScreen y el comportamiento del explorador a través de estas directivas.