Consideraciones de seguridad para los fabricantes de equipos originales

Como fabricante de equipos originales (OEM), tiene una oportunidad única de mejorar la eficacia de las medidas de seguridad disponibles para sus clientes. Los clientes desean y necesitan proteger sus dispositivos. Las características de seguridad de Windows 10 se basan en hardware y firmware habilitados para la más alta seguridad. Ahora le toca a usted. Para proporcionar un diferenciador para los dispositivos o vender en el espacio Enterprise, proporcionará las últimas mejoras del hardware, con las que Windows 10 se pueden configurar para una mayor seguridad.

Profesionales de TI: Para obtener más información sobre estas características, incluido cómo implementarlas en su empresa, consulten: Seguridad del dispositivo y Control del estado de los dispositivos basados en Windows 10.

Windows 10 S

Windows 10 S es una configuración específica de Windows 10 Pro que ofrece una experiencia familiar de Windows optimizada para una mejor seguridad y rendimiento. Windows 10 S proporciona lo mejor de la nube y aplicaciones con todo tipo de características.También está diseñando para dispositivos modernos. Microsoft Defender está siempre activado y actualizado.

Windows 10 S ejecutará únicamente aplicaciones verificadas en la Store y controladores verificados en Windows Update. Windows 10 S proporciona compatibilidad con Azure Active Directory y, cuando se empareja con una MSA o Intune para Educación, Windows 10 S almacena archivos de forma predeterminada en OneDrive.

Los OEM: Para obtener más información sobre Windows 10 S, consulten: Características y requisitos de seguridad de Windows 10 S para los OEM).

Cifrado de dispositivo BitLocker

El cifrado de dispositivos BitLocker es un conjunto de características habilitadas por un OEM mediante el suministro de un conjunto adecuado de hardware en los dispositivos que vende. Sin la configuración de hardware adecuada, el cifrado de dispositivos se habilitará. Con las configuraciones de hardware adecuadas, Windows 10 cifra automáticamente un dispositivo.

Los OEM: Para obtener más información sobre BitLocker, consulten: Cifrado de unidad BitLocker en Windows 10 para los OEM.

Arranque seguro

El arranque seguro es un estándar de seguridad desarrollado por miembros de la industria informática para ayudar a garantizar que cualquier equipo arranca únicamente con el software que el fabricante considera como fiable. Cuando se inicia el equipo, el firmware comprueba la firma de cada elemento del software de arranque, incluidos los controladores del firmware (las ROM de opción), las aplicaciones EFI y el sistema operativo. Si las firmas son válidas, el equipo arrancará y el firmware proporcionará el control al sistema operativo.

Los OEM: Para más información sobre los requisitos de arranque seguro para los OEM, consulten: Arranque seguro.

Módulo de plataforma segura (TPM) 2.0

La tecnología del Módulo de plataforma segura (TPM) está diseñado para ofrecer funciones relacionadas con la seguridad y el hardware. Un chip TPM es un procesador de criptografía seguro que te ayuda a con acciones, tales como generar y almacenar claves criptográficas, así como limitar su uso. El chip incluye varios mecanismos de seguridad física que hacen que sea resistente a las alteraciones y que las funciones de seguridad no permitan que el software malintencionado realice alteraciones.

Nota

A partir del 28 de julio de 2016, todos los modelos, líneas o series nuevos de dispositivos (o, si va a actualizar la configuración de hardware de un modelo, línea o serie existente con una actualización importante, como la de la CPU o tarjetas gráficas) deben implementar y habilitar de forma predeterminada el TPM 2.0 (detalles en la sección 3.7 de la página Minimum hardware requirements, "Requisitos de hardware mínimos"). El requisito para poder habilitar el TPM 2.0 se aplica únicamente a la fabricación de nuevos dispositivos.

Los OEM: Para obtener más información, consulten: Requisitos de hardware del Módulo de plataforma segura (TPM) 2.0.

Profesionales de TI: Para comprender cómo funciona el TPM en su empresa, consulten: Módulo de plataforma segura.

Requisitos de la interfaz de firmware extensible unificada (UEFI)

La UEFI es un sustituto de la interfaz de firmware del antiguo sistema básico de entrada/salida (BIOS). Cuando se inician los dispositivos, la interfaz del firmware controla el proceso de arranque del equipo y, a continuación, pasa el control a Windows u otro sistema operativo. La UEFI habilita características de seguridad como el arranque seguro y las unidades cifradas de fábrica que ayudan a evitar que se ejecute código que no es de confianza antes de cargar el sistema operativo. A partir de Windows 10, versión 1703, Microsoft requiere la especificación UEFI, versión 2.3.1c. Para más información sobre los requisitos del OEM para UEFI, consulte: Requisitos de firmware de UEFI.

Los OEM: Para obtener más información sobre lo que necesitan hacer para admitir controladores de UEFI, consulten: UEFI en Windows.

Seguridad basada en virtualización (VBS)

Las características de seguridad basadas en hardware, también denominada seguridad basada en virtualización o VBS, proporcionan aislamiento del kernel seguro desde un sistema operativo normal. Debido a este aislamiento, no es posible aprovechar las vulnerabilidades de día 0 ni otras similares en el sistema operativo.

Los OEM: Para obtener más información sobre los requisitos de hardware de VBS, consulten: Requisitos de hardware de la seguridad basada en virtualización (VBS).

Protección de aplicaciones de Microsoft Defender

La Protección de aplicaciones ayuda a aislar los sitios que la empresa considera que no son de confianza. Así se mantiene protegida la compañía mientras sus empleados navegan por Internet.

Si va a vender dispositivos a clientes empresariales, deberá proporcionar hardware que admita las características de seguridad que necesitan las empresas.

Los OEM: Para más información sobre los requisitos de hardware de la Protección de aplicaciones de Microsoft Defender, consulten: Requisitos de software de la Protección de aplicaciones de Microsoft Defender.

Credential Guard de Microsoft Defender

Credential Guard usa una seguridad basada en virtualización para aislar y proteger los secretos (por ejemplo, los hash de contraseña NTLM y las solicitudes de concesión de solicitudes de Kerberos) para bloquear los ataques de tipo "pass-the-hash" o "pass-the-ticket".

Los OEM: Para más información sobre los requisitos de hardware de Credential Guard de Microsoft Defender, consulten: Requisitos de software de Credential Guard de Microsoft Defender.

Profesionales de TI: Para obtener información sobre cómo configurar e implementar Credential Guard de Microsoft Defender en su empresa, consulten: Protección de credenciales de dominio derivadas con Credential Guard de Microsoft Defender.

La integridad de código protegido por hipervisor es una combinación de características de seguridad de hardware y software relacionadas con la empresa que, cuando se configuran al unísono, asegurarán que un dispositivo solo ejecute las aplicaciones de confianza definidas en las directivas de integridad del código.

A partir de Windows 10, 1703, las características de Device Guard de Microsoft Defender se han agrupado en dos nuevas características: Protección contra vulnerabilidades de seguridad de Microsoft Defender y Control de aplicaciones de Microsoft Defender. Cuando ambos están habilitados, la integridad de código protegido por hipervisor también lo está.

Los OEM: Para obtener más información sobre los requisitos de hardware de la integridad de código protegido por hipervisor, consulten: Seguridad basada en virtualización (VBS).

Profesionales de TI: Para obtener información sobre cómo implementar la integridad de código protegido por hipervisor en su empresa, consulten: Requisitos e instrucciones para la correcta implementación de la integridad de código protegido por hipervisor.

Protección contra DMA de Kernel

Las características de seguridad basadas en hardware, a las que también conocemos como protección de acceso a memoria, proporcionan aislamiento y protección contra los ataques DMA maliciosos durante el proceso de arranque y el tiempo de ejecución del sistema operativo.

Los OEM: Para obtener más información sobre los requisitos de la plataforma en cuanto a la protección contra DMA de Kernel, consulten: Protección contra DMA de Kernel para los OEM.

Desarrolladores de controladores: Para obtener más información sobre la protección contra DMA de Kernel y los controladores compatibles con la reasignación de DMA, consulten: Habilitación de la reasignación de DMA para controladores de dispositivos.

Profesionales de TI: Para obtener más información sobre las directivas de la protección contra DMA de Kernel y la experiencia del usuario, consulten: Protección contra DMA de Kernel.

Windows Hello

Microsoft Windows Hello proporciona a los usuarios una experiencia personal y segura en la que el dispositivo se autentica en función de su presencia. Los usuarios pueden iniciar sesión con una mirada o un toque, sin necesidad de una contraseña. Junto con Microsoft Passport, la autenticación biométrica usa huellas dactilares o reconocimiento facial, por lo que es más segura, personal y cómoda.

Para obtener información sobre cómo funciona Windows Hello con el marco de dispositivo complementario, consulte: Windows Hello y el marco de dispositivo complementario.

Para obtener información sobre los requisitos biométricos que son compatibles con Windows Hello, consulte: Requisitos biométricos de Windows Hello.

Para obtener información sobre cómo funciona la autenticación facial, consulte: Autenticación facial de Windows Hello.