Documentos de Académico
Documentos de Profesional
Documentos de Cultura
OCTUBRE 2018
CCN-STIC-599A18 Seguridad sobre MS Windows 10 (Cliente miembro de dominio) v1.0
Edita:
CENTRO CRIPTOLOGICO NACIONAL
2.5.4.13=Qualified Certificate: AAPP-SEP-M-SW-KPSC,
ou=sello electrónico, serialNumber=S2800155J,
o=CENTRO CRIPTOLOGICO NACIONAL, cn=CENTRO
CRIPTOLOGICO NACIONAL, c=ES
2018.10.09 10:14:41 +02'00'
LIMITACIÓN DE RESPONSABILIDAD
El presente documento se proporciona de acuerdo con los términos en él recogidos, rechazando expresamente
cualquier tipo de garantía implícita que se pueda encontrar relacionada. En ningún caso, el Centro Criptológico
Nacional puede ser considerado responsable del daño directo, indirecto, fortuito o extraordinario derivado de la
utilización de la información y software que se indican incluso cuando se advierta de tal posibilidad.
AVISO LEGAL
Quedan rigurosamente prohibidas, sin la autorización escrita del Centro Criptológico Nacional, bajo las sanciones
establecidas en las leyes, la reproducción parcial o total de este documento por cualquier medio o
procedimiento, comprendidos la reprografía y el tratamiento informático, y la distribución de ejemplares del
mismo mediante alquiler o préstamo públicos.
PRÓLOGO
El uso masivo de las tecnologías de la información y las telecomunicaciones (TIC), en todos los
ámbitos de la sociedad, ha creado un nuevo espacio, el ciberespacio, donde se producirán
conflictos y agresiones, y donde existen ciberamenazas que atentarán contra la seguridad
nacional, el estado de derecho, la prosperidad económica, el estado de bienestar y el normal
funcionamiento de la sociedad y de las administraciones públicas.
El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad
en el ámbito de la Administración Electrónica (ENS, en adelante), al que se refiere el apartado segundo
del artículo 156 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, establece
la política de seguridad en la utilización de medios electrónicos que permita una protección adecuada
de la información.
Precisamente el Real Decreto 3/2010 de 8 de Enero, actualizado por el Real Decreto 951/2015,
de 23 de octubre, fija los principios básicos y requisitos mínimos así como las medidas de protección a
implantar en los sistemas de la Administración, y promueve la elaboración y difusión de guías de
seguridad de las tecnologías de la información y las comunicaciones (STIC) por parte de CCN para
facilitar un mejor cumplimiento de dichos requisitos mínimos.
octubre de 2018
ÍNDICE
2. INTRODUCCIÓN
Este documento forma parte del conjunto de normas desarrolladas por el Centro Criptológico
Nacional para entornos basados en los productos y sistemas operativos de Microsoft (CCN STIC
500), siendo de aplicación para la Administración pública en el cumplimiento del Esquema
Nacional de Seguridad (ENS) y de obligado cumplimiento para los sistemas que manejen
información clasificada nacional.
La serie CCN STIC 500 se ha diseñado de manera incremental. Así, dependiendo del sistema,
se aplicarán consecutivamente varias de estas guías. En este sentido se deberán aplicar las guías
correspondientes dependiendo del entorno que se esté asegurando.
Por ejemplo, en el caso de un entorno que le sea de aplicación el ENS, para un servidor
miembro de un dominio con Microsoft Windows Server 2012 R2, en el que se instale Microsoft
Exchange Server 2013, deberán aplicarse las siguientes guías:
a) Guía CCN-STIC-870A en el servidor miembro con Microsoft Windows Server 2012 R2.
b) Guía CCN-STIC-873 Internet Information Services (IIS) 8.5.
c) Guía CCN-STIC-880 Microsoft Exchange Server 2013 en Windows Server 2012 R2.
Por ejemplo, en el caso de un entorno de red clasificada, para un servidor con Microsoft
Windows Server 2012 R2, en el que se instale Microsoft Exchange Server 2013, deberán aplicarse
las siguientes guías:
3. OBJETO
El propósito de este documento consiste en proporcionar los procedimientos para
implementar y garantizar la seguridad para una instalación del sistema “Microsoft Windows 10”
en sus versiones “Enterprise” con sus opciones de mantenimiento “CB”, “CBB” o “LTSB” y
“Professional” (en adelante, “Pro”), actuando como cliente miembro de un dominio. Otras
versiones o productos disponibles para Microsoft Windows 10 no están soportados para la
presente guía.
Para manejar información clasificada, la única versión del sistema operativo permitida es
Microsoft Windows 10 Enterprise con opción de mantenimiento LTSB. Esta decisión se
fundamenta en el Informe de Amenazas denominado “CCN-CERT IA-08-16 Privacidad W10 Redes
Clasificadas”.
Nota: Deberá consultarse en cada caso, dependiendo de donde se implemente el sistema, qué versión de
Microsoft Windows 10 va a ser instalada.
La configuración que se aplica a través de la presente guía se ha diseñado para ser lo más
restrictiva posible, minimizando la superficie de ataque y, por lo tanto, los riesgos que pudieran
existir. En algunos casos y dependiendo de la funcionalidad requerida del cliente, podría ser
necesario modificar la configuración, que aquí se plantea, para permitir que el equipo
proporcione los servicios adicionales.
No obstante, se tiene en consideración que los ámbitos de aplicación son muy variados y por
lo tanto dependerán de su aplicación, las peculiaridades y funcionalidades de los servicios
prestados por las diferentes organizaciones. Por lo tanto, las plantillas y normas de seguridad se
han generado definiendo unas pautas generales de seguridad que permitan el cumplimiento de
los mínimos establecidos en el ENS y las condiciones de seguridad necesarias en un entorno
clasificado.
En el caso de la securización de un entorno perteneciente a una red clasificada, se establece
la máxima seguridad posible teniendo en consideración la guía CCN-STIC-301 – Requisitos STIC.
Si su sistema requiere de otra configuración menos restrictiva, y está autorizado para ello,
consulte el apartado “APLICACIÓN DE NIVELES DE CLASIFICACIÓN” del “ANEXO B” de esta guía
para realizar los pasos adecuados.
4. ALCANCE
La guía se ha elaborado para proporcionar información específica con objeto de asegurar un
cliente con el sistema operativo “Microsoft Windows 10”, instalado en español en sus versiones
Enterprise y Pro. Se incluyen, además, operaciones básicas de administración para la aplicación
de las mismas, así como una serie de recomendaciones para su uso.
El escenario en el cual está basada la presente guía tiene las siguientes características técnicas:
a) Como paso previo a la instalación de Microsoft Windows 10, la organización deberá haber
realizado una implementación de Directorio Activo, siguiendo los mecanismos definidos en
las guías correspondientes dependiendo del entorno que se esté securizando:
i. Entorno de ENS: CCN-STIC-870A – Implementación del ENS sobre Microsoft Windows
Server 2012 R2.
ii. Entorno de red clasificada: CCN-STIC-560A – Implementación de Microsoft Windows
Server 2012 R2 – DC y Servidor miembro.
b) Deberá implementar la presente guía en función del entorno que requiera su organización.
c) Si el entorno que está securizando pertenece a una red clasificada, se deberá realizar la
securización de Microsoft Internet Explorer 11 a través de la implementación de las
políticas de seguridad definidas en la guía CCN-STIC-520 Internet Explorer 11 para un
cliente miembro de dominio.
d) Esta guía de seguridad está enfocada a sistemas clasificados, aunque puede ser tomada
como base para la securización de Internet Explorer 11 en aquellos sistemas que les sea de
aplicación el ENS. En este último caso, estas medidas deberán adaptarse a las necesidades
de cada organización.
e) En el caso de que se requiera la securización de los equipos en una red clasificada para el
uso de MS Office 2013, deberá realizar la aplicación de la guía codificada como CCN-STIC-
529.
correspondientes, puede implicar que tenga que ajustar de nuevo los valores que ya hubiera
personalizado.
El espíritu de estas guías no está dirigido a remplazar políticas consolidadas y probadas de las
organizaciones sino a servir como línea base de seguridad. Esta línea deberá ser adaptada a las
necesidades propias de cada organización.
El procedimiento establecido en este documento asume que está configurando un sistema a
partir de un entorno limpio (formateado).
6.1 VERSIONES
Tradicionalmente, Microsoft ha proporcionado versiones para los entornos domésticos,
profesionales y de negocio. La nomenclatura, en inglés, de dichas versiones son Home,
Professional (también denominada Pro) y Enterprise. Adicionalmente, existen versiones
específicas para educación. Cada una de ellas aporta diferentes funcionalidades, en función del
entorno de implementación factible. Así, el usuario doméstico tenía a su disposición una solución
que se adaptaba a sus necesidades: versión Home.
Para entornos de tipo corporativo, Microsoft, por ejemplo, había proporcionado dos líneas de
productos diferenciadas, las versiones Profesional y Enterprise. La diferencia radicaba en que
esta última aportaba una serie de características para un control corporativo mayor, implicando
en ello, por ejemplo, soluciones de seguridad tales como “Microsoft Bitlocker Administration and
Monitoring” que no se encontrarían disponibles para la primera. Este hecho redunda, como es
lógico, en el coste de la versión.
Adicionalmente a este tipo de versionado que se mantiene en Microsoft Windows 10, aparece
una nueva categorización basada en las opciones de mantenimiento. Esta nueva categorización
atiende a la necesidad de dar respuesta a una necesidad más específica para, por ejemplo,
asegurar que los sistemas se encuentren actualizados de tal forma que, ante una
desactualización, el sistema limite su funcionamiento
El sistema operativo Microsoft Windows 10 introduce una nueva forma de construir,
desplegar y actualizar Windows: Windows como servicio. Microsoft ha modificado cada parte del
proceso, para simplificar su gestión y permitir mantener una experiencia consistente de Windows
10 en los clientes.
Antes de MS Windows 10, Microsoft lanzaba nuevas versiones de Windows cada pocos años.
Con este modelo, el cambio de una versión a otra implicaba un trabajo importante en los clientes,
ya que el volumen de cambios existente requería unos procesos de validación y migración
costosos. Con el modelo de Windows como Servicio, Microsoft lanzará nuevas funcionalidades
de Windows 10 de forma periódica y continua en el tiempo, simplificando los procesos necesarios
para mantener el sistema actualizado con las nuevas funcionalidades. Se lanzarán una media de
dos actualizaciones de Windows 10 al año.
Windows 10 recibe dos tipos de actualizaciones:
a) Actualizaciones de calidad (Quality Updates). Incluye tanto actualizaciones de seguridad
como actualizaciones recomendadas, en un modelo acumulativo.
b) Actualizaciones de características (Feature Updates). Donde se recogen las nuevas
funcionalidades del producto, y a las que se hace referencia en el modelo de servicio de
Windows 10.
b) CBB (Rama actual para empresas o Current Branch for Business). Las organizaciones
normalmente siguen un ciclo de pruebas antes de desplegar de forma masiva nuevas
características a los usuarios. Para Microsoft Windows 10, la fase de piloto y/o pruebas se
cubriría dentro del plazo de la versión CB, mientras que el despliegue masivo se realizaría
en CBB. Los clientes en el modelo CBB recibirán la misma versión de Microsoft Windows 10
que aquellos que están en el modelo CB, pero la recibirán en un período de tiempo
posterior.
c) LTSB (Rama de mantenimiento a largo plazo para empresas o Long Term Servicing Branch).
Esta opción de mantenimiento de Microsoft Windows 10 está orientada a sistemas
especializados y de misión crítica, que tradicionalmente requieren un ciclo de vida mayor y
normalmente, no se benefician de nuevas funcionalidades, ya que habitualmente realizan
una tarea única y concreta. En este modelo de actualización, estos equipos recibirán
únicamente actualizaciones de calidad. Microsoft generará actualizaciones de
características para este modelo aproximadamente una vez cada dos años, aunque no es
de obligación su instalación inmediata.
Entre las diferentes opciones, CB, CBB y LTSB, que proporciona Microsoft para MS Windows
10, resulta reseñable, entre sus características, la disponibilidad de las actualizaciones y el ciclo
de vida de mantenimiento:
a) Para la opción CB, la duración mínima del ciclo de vida de mantenimiento es de 4 meses
aproximadamente.
b) Para la opción CBB, la duración mínima del ciclo de vida de mantenimiento es de 8 meses
aproximadamente.
c) Para la opción LTSB, la duración mínima del ciclo de vida de mantenimiento es de 10 años.
Debe entenderse lo anterior como el plazo máximo en que un sistema podrá mantenerse
operacional sin la debida actualización del sistema. Esto no indica, como es lógico, que sea
adecuado mantener un sistema desactualizado durante un plazo de 8 meses. Las buenas
prácticas de seguridad establecen la necesidad de mantener los sistemas actualizados con las
últimas actualizaciones disponibles en materia de seguridad.
El ciclo de vida de las distintas opciones de mantenimiento de MS Windows 10 varía, según se
esté siguiendo el modelo de servicio (CB/CBB) o el modelo tradicional (LTSB):
a) Microsoft va a soportar de forma simultánea en el tiempo dos Current Branch for Business
(Rama actual para empresas), más un período de gracia de 60 días. De esta forma, cada
actualización de características de Microsoft Windows 10 en este modelo se soportará y
actualizará un mínimo de 18 meses.
b) En el caso de la opción LTSB, el soporte completo de la misma será de 5 años desde la fecha
de lanzamiento, más otros 5 años de soporte extendido.
6.3 LICENCIAS
Por último, al igual que ocurría en versiones anteriores de Windows existen diferentes
mecanismos de adquisición de licencias los cuales se detallan a continuación:
a) Licencias Windows OEM. Son las licencias que vienen preinstaladas en los equipos nuevos
que se adquieren para entornos de negocio. La característica principal de este tipo de
licencias es que están asociadas al dispositivo con el que se adquieren, y no se pueden
reinstalar en un dispositivo distinto.
b) Licencias de Retail. Son las licencias que se adquieren en tiendas físicas o a través de
internet. A su vez, pueden ser licencias completas (Full Packaged Product), que pueden
instalarse en cualquier equipo, o bien licencias de actualización, que requieren que el
equipo sobre el que se instale disponga de una versión ya instalada de sistema operativo.
Normalmente, las licencias de actualización se utilizan para pasar de una versión más
antigua a una más moderna de sistema operativo.
c) Licencias por Volumen. Son las licencias que una organización adquiere a través de un
acuerdo corporativo con Microsoft. Son licencias de actualización, es decir, requieren una
licencia de Windows OEM en el equipo sobre el que se van a instalar. Existen distintas
configuraciones para la adquisición de licencias por volumen de Microsoft Windows 10,
que se va a describir a continuación, cada una de las cuales proporciona un conjunto
distinto de funcionalidades adicionales.
Las configuraciones más habituales para empresa relativas a las licencias de volumen de MS
Windows 10 son las siguientes:
a) Microsoft Windows 10 Pro Upgrade. Proporciona derechos de actualización a Microsoft
Windows 10 Pro para equipos que dispongan de licencias de sistema operativo anteriores
(por ejemplo, Microsoft Windows 8.1 Pro). Además, proporciona otros derechos
adicionales sobre las licencias OEM, como por ejemplo el derecho de reimagen de los
equipos.
b) Microsoft Windows 10 Enterprise LTSB. Proporciona la funcionalidad adicional incluida en
la versión Enterprise de Microsoft Windows 10, destinada especialmente a mejorar las
capacidades de seguridad y gestión de las grandes organizaciones. Algunas de las
funcionalidades que se incluyen en esta versión son por ejemplo Direct Access, que es una
solución de VPN transparente para el usuario o Credential Guard y Device Guard, dos de
las nuevas funcionalidades de seguridad de Windows 10. Esta licencia permite el uso de las
funcionalidades de Microsoft Windows Enterprise en el modelo de versionado
denominado Long Term Servicing Branch (LTSB).
c) Microsoft Windows 10 Enterprise con Software Assurance (renombrado Windows 10
Enterprise E3). Proporciona la funcionalidad adicional incluida en la versión Enterprise de
Microsoft Windows 10 más una serie de beneficios adicionales, como el derecho de uso del
paquete Microsoft Desktop Optimization Package (MDOP). Este paquete incluye, entre
otras, la solución de seguridad Microsoft Bitlocker Administration and Monitoring (MBAM),
que permite la gestión centralizada de Bitlocker, la herramienta de cifrado de Windows.
Además, con esta opción es posible utilizar las funcionalidades de Windows Enterprise
tanto en el modelo de versionado LTSB como en el nuevo modelo de servicio Current
Branch for Business (CBB).
d) Microsoft Windows 10 Enterprise E5. Es una nueva oferta de licenciamiento para Windows
10, que incluye los derechos de uso incluidos en Windows 10 Enterprise E3 más la opción
de utilizar el nuevo servicio de seguridad Windows Defender Advanced Threath Protection.
Nota: La comparativa completa entre la funcionalidad de las distintas versiones de MS Windows 10 se
puede consultar en el siguiente enlace:
https://www.microsoft.com/es-es/WindowsForBusiness/Compare
7.1 INTERFAZ
Uno de los cambios más significativos que ofrece Microsoft Windows 10 lo constituye la
interfaz. Microsoft Windows 8 y Microsoft Windows Server 2012 incorporaron la interfaz Metro,
abandonando la interfaz de escritorio más tradicional.
Microsoft Windows 10 para puestos de trabajo recupera la esencia del escritorio tradicional,
pero incluyendo un nuevo menú inicio modernizado con elementos visuales similares a Metro.
Desde el punto de vista del usuario, el sistema tiene una semejanza mayor al concepto tradicional
de Microsoft Windows 7 frente al concepto Metro que incorporó Microsoft Windows 8.
En este entorno de fusión se incluye la “Plataforma Universal de Windows – UWP”, también
conocidas como Appx. Se tratan de aplicaciones que se incluyen precargadas en Microsoft
Windows 10 y que añaden funciones añadidas para Windows y que pueden ser adquiridas a
través de la Tienda de Microsoft.
No obstante, debe conocerse que determinados componentes como el menú inicio o
determinados paneles de administración son realmente Appx. Es, por lo tanto, requerido el
funcionamiento del servicio de gestión de Appx (AppXSvc) para que la actividad del usuario no se
vea mermada al inhabilitarse paneles esenciales para el trabajo diario mediante la desactivación
del servicio.
7.2 TELEMETRÍA
Dentro de los nuevos componentes existentes en Microsoft Windows 10, el de Telemetría
sería uno de los que mayor conectividad realizaría hacia Internet. Sin embargo, también es el que
ofrece una mayor capacidad de granularidad para su control. El servicio de telemetría es
empleado por Windows para analizar y solventar problemas del Sistema Operativo. Dicha
funcionalidad de telemetría opera tanto de forma interna, generando registros internos de
actividad, como remitiendo en determinadas condiciones envíos de información a Microsoft. La
telemetría proporciona las siguientes características:
a) Comprobar, y llevar a cabo la actualización del sistema operativo.
b) Mantener el sistema operativo seguro, confiable y eficaz.
c) Mejorar el sistema operativo mediante el análisis de los datos agregados de uso de
Windows en una enorme muestra representativa de máquinas.
En Microsoft Windows 10 se han establecido 4 niveles de comportamiento de la telemetría:
a) Seguridad.
b) Básico.
c) Avanzado.
d) Completo.
Estos niveles están disponibles en todas las ediciones móviles y de escritorio de Microsoft
Windows 10, con la excepción del nivel de Seguridad, que está limitado a Microsoft Windows 10
Enterprise, Microsoft Windows 10 Education, Microsoft Windows 10 Mobile Enterprise,
Microsoft Windows10 IoT Core (IoT Core) y Microsoft Windows Server2016.
La siguiente imagen muestra la información que sería manejada por los diferentes niveles de
telemetría.
Cada nivel de telemetría incrementa el nivel de datos que estarían siendo manejados por
dicho componente:
a) La configuración del nivel de telemetría en nivel de seguridad trataría la siguiente
información:
i. Configuraciones base de experiencia de usuario. La información manejada sería
información del Sistema Operativo, Id de dispositivo y clase de dispositivo.
ii. Malicious Software Removal Tool. Información tratada por la herramienta que puede
descargarse a través de Windows Update.
iii. Windows Defender. Información tratada por la herramienta antimalware con la que
contaría Microsoft Windows 10.
b) La configuración de telemetría en modo básico, adicionalmente a la seguridad, manejaría
la siguiente información:
i. Información básica del dispositivo. Se incluyen como fundamentales atributos de los
dispositivos versión de navegador, atributos de procesador y memoria, edición de
Windows y otros.
ii. Métricas cualitativas de experiencia de usuario. Se incluirían eventos relacionados con
eventos de tiempos de carga o descarga de componentes.
iii. Funcionalidad de la compatibilidad de aplicaciones.
iv. Información de la tienda, descarga y comportamiento de aplicaciones de la misma.
7.3 AUTENTICACIÓN
La autenticación es un proceso que comprueba la identidad de un objeto, un servicio o una
persona. Cuando se autentica un objeto, el objetivo es comprobar que el objeto es quien dice ser
(auténtico), por ejemplo, cuando se autentica un servicio o un usuario, el objetivo es validar que
las credenciales presentadas sean auténticas.
En un contexto de redes, la autenticación es el acto de probar la identidad a una aplicación o
recurso de red. Por lo general, la identidad se demuestra mediante una operación criptográfica
que utiliza una clave que solo el usuario conoce o una clave compartida. La parte del servidor
encargado del intercambio de autenticación compara los datos firmados con una clave
criptográfica conocida, para validar el intento de autenticación.
Microsoft Windows 10 presenta cambios en el modelo de autentificación con respecto a las
versiones previas del Sistema Operativo. Estos cambios podrían llegar a afectar a algunas de las
funcionalidades que pudieran encontrase en producción, por lo que es necesario conocerlas y
valorarlas.
Estos son los cambios más significativos en cuanto a los procesos de autenticación:
a) Kerberos. Ha sufrido cambios en la delegación restringida entre dominios internos del
bosque. Compatibilidad con datos de autorización de notificaciones. Protección de
Kerberos a través de túnel seguro de autenticación flexible (FAST). Todos los cambios
relativos a la autenticación Kerberos se encuentran en la siguiente dirección URL.
https://msdn.microsoft.com/es-es/library/hh831747(v=ws.11).aspx
b) Biometría. Presenta mejoras en los cambios rápidos de usuarios con dispositivos
biométricos y en la compatibilidad con proveedores de credenciales. Se incorpora también
la funcionalidad de Windows Hello como mecanismo adicional para el inicio de sesión.
Nota: Es necesario evaluar cada anexo de este documento para establecer qué medidas de seguridad se
van a implantar en los sistemas a securizar, dependiendo de si el entorno del sistema pertenece a una red
clasificada, o es un entorno de aplicación dentro del ENS.
MS Windows 10 en su versión Enterprise incorpora una serie de funcionalidades que aportan
características de seguridad no incluidas en la versión Pro. Las organizaciones deberán tener en
cuenta dichas características a la hora de identificar la versión más adecuada para la
implementación de los puestos de trabajo.
Dichas funcionalidades son las siguientes:
a) AppLocker.
b) MBAM.
c) Direct Access.
d) Windows To Go.
e) Credential Guard.
f) Device Guard.
8.1 APPLOCKER
AppLocker es una característica heredada de Microsoft Windows 8 y presente en la versión
Enterprise de Microsoft Windows 10. Esta característica reemplaza la característica Directivas de
restricción de software. AppLocker controla la manera en que se accede a los archivos por parte
de los usuarios y su uso.
AppLocker permite realizar las siguientes acciones:
a) En base a las firmas de archivo puede definir reglas específicas para una versión de archivo
determinada.
b) Asignar una regla a un grupo de seguridad o a un usuario individual.
c) Crear reglas de excepción para impedir el uso de un proceso determinado.
d) Crear y administrar reglas para AppLocker a través del uso de PowerShell.
e) Auditar al implantar la directiva con la finalidad de medir su alcance.
f) Importar directivas para sobrescribir las actuales y exportar las existentes.
Las reglas de AppLocker permiten o impiden el inicio de una aplicación. AppLocker no controla
el comportamiento de las aplicaciones después de que éstas se han ejecutado. En la práctica, una
aplicación que está permitida por AppLocker podría utilizar indicadores para pasar por alto las
reglas definidas a través de él e iniciar procesos secundarios. Para entornos altamente críticos,
se debería realizar un análisis de las aplicaciones investigándolas de forma minuciosa antes de
permitir que se ejecuten mediante reglas de AppLocker.
8.2 MBAM
MBAM (Microsoft Bitlocker Administration and Monitoring) es una característica de Microsoft
Windows 10 Enterprise que hace referencia a la administración y supervisión de Microsoft
BitLocker, proporcionando la capacidad de administración de forma empresarial y simplificada
tanto para Bitlocker To Go como para BitLocker.
Facilita mecanismos para implementación de las claves de cifrado y recuperación, junto con
los mecanismos para la recuperación de las mismas.
Ofrece además la posibilidad de establecer procesos de supervisión en el acceso a las claves,
así como la generación de informes sobre el cumplimiento.
MBAM permite:
a) Automatizar los procesos de cifrado mediante Bitlocker en los clientes.
b) Proporciona un portal de autoservicio para la obtención de las claves de recuperación de
aquellos dispositivos que se encuentren cifrados.
c) La administración de hardware y la generación de informes.
d) Determinar el estado de cumplimiento de los equipos cliente.
e) Auditar el acceso a las claves de recuperación tanto de los administradores como de los
propios usuarios, tanto para el portal de Help-Desk, como el de autoservicio.
El servidor DirectAccess actúa como puerta de enlace entre el cliente y la intranet mediante
el uso de un túnel IPsec para el tráfico IPv6. Microsoft Windows 10 proporciona un mejor soporte
para las características de DirectAccess que mejoran el rendimiento y disponibilidad y a la vez es
más fácil de implementar y mantener. La implementación de DirectAccess en varias ubicaciones
geográficas facilita a grandes organizaciones y a sus clientes Microsoft Windows 10 la conexión
ya que son conocedores de todos los despliegues de DirectAccess seleccionando siempre el
punto más cercano.
Microsoft Windows 10 incluye soporte para cifrado mediante IP-HTTPS null encryption, esta
característica mejora considerablemente la escalabilidad en el servidor de DirectAccess mediante
la eliminación de la doble encriptación necesaria en anteriores clientes reduciendo el consumo
de recursos del servidor y permitiendo más conexiones de clientes de Direct Access.
A través de Direct Access un equipo que inicia la sesión tendrá a su disposición el acceso a los
recursos de la organización tales como el acceso a las Políticas de Grupo u otros elementos de
configuración importantes para la misma. El sistema por lo tanto no se encontrará limitado ante
la necesidad de realizar una conexión física a la infraestructura organizativa.
Este componente resulta extremadamente útil para el personal desplazado de media o larga
duración.
8.4 WINDOWS TO GO
La versión Enterprise de Microsoft Windows 10 permite generar en un Pendrive un sistema
operativo para el arranque desde el mismo. Windows to GO es una interesante característica de
productividad móvil empresarial que permite instalar, transportar y ejecutar el escritorio
completo de un usuario en una unidad de almacenamiento externo, posibilitando a los
departamentos TI apoyar la tendencia BYOD (Bring your own device) sin comprometer la
seguridad del entorno corporativo.
Windows to GO no está destinado a reemplazar equipos de escritorio, equipos portátiles ni
suplantar otras ofertas de movilidad, pero permite usar los recursos de manera eficaz en
escenarios de área de trabajo alternativos. El área de trabajo de Windows To Go funciona igual
que cualquier otra instalación de Windows con algunas excepciones:
a) Los discos internos están desconectados.
b) No se usa el Módulo de plataforma segura (TPM).
c) La hibernación está deshabilitada de manera predeterminada.
d) No está disponible el Entorno de recuperación de Windows.
e) No se admite la actualización ni el restablecimiento de un área de trabajo de Windows To
Go.
Los cambios instaurados sobre las actualizaciones de Windows en su versión 1607 son los
siguientes:
a) Las actualizaciones de calidad pueden aplazarse hasta 30 días y pausarse durante 35días
b) Las actualizaciones de características pueden aplazarse hasta 180 días y pausarse durante
60 días
c) Los aplazamientos de actualizaciones pueden aplicarse al mantenimiento Rama actual (CB)
y Rama actual para empresas (CBB)
d) Los controladores de cualquier dispositivo se pueden excluir de las actualizaciones
Además de estos cambios es importante conocer que esta nomenclatura ha sido cambiada
para las versiones posteriores a Windows 10 1511 en todas sus versiones afectando esto a ciertos
cambios en el sistema operativo como pueden ser las directivas y el modo en el que se
implementan las diferentes opciones de mantenimiento.
Los cambios mencionados anteriormente son:
a) Canal semi anual: se refiere a la rama actual (CB) como "rama semianual (dirigida)",
mientras que la rama actual para empresas (CBB) es simplemente "rama semianual".
b) Canal de mantenimiento a largo plazo: la rama de mantenimiento a largo plazo (LTSB)
cambia su denominación a canal de mantenimiento a largo plazo (LTSC).
Nota: Para más información sobre las diferentes opciones de mantenimiento puede dirigirse a la siguiente
dirección URL: https://docs.microsoft.com/es-es/windows/deployment/update/waas-overview#naming-
changes
Nota: Para más información acerca de esta funcionalidad de Windows Defender consulte el siguiente
enlace: https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-
atp/windows-defender-advanced-threat-protection
9.7 ADMINISTRACIÓN
Los administradores de empresa pueden agregar y quitar aplicaciones ancladas en la barra de
tareas. Los usuarios pueden anclar aplicaciones, desanclar aplicaciones y cambiar el orden de las
aplicaciones ancladas en la barra de tareas después de aplicar la configuración de la empresa.
Nota: Para más información acerca de la personalización de la barra de tareas visite el siguiente enlace:
https://docs.microsoft.com/es-es/windows/configuration/windows-10-start-layout-options-and-policies
Microsoft Windows 10, versión 1607, presenta el modo de equipo compartido, que optimiza
Microsoft Windows 10 para escenarios de uso compartido, como los espacios de toma de
contacto en una organización y el uso de cliente temporal en el sector minorista.
Un equipo con Microsoft Windows 10 en modo de equipo compartido está diseñado para que
no requiera gestión ni mantenimiento, con alta confiabilidad. En modo de equipo compartido,
solo puede iniciar sesión un usuario cada vez. Cuando el equipo se bloquea, el usuario que haya
iniciado sesión siempre podrá cerrar la sesión en la pantalla de bloqueo.
Nota: Consulte el siguiente enlace para obtener más información acerca del modo equipo compartido:
https://docs.microsoft.com/es-es/windows/configuration/set-up-shared-or-guest-pc
10.1 CONFIGURACIÓN
Cortana es la asistente personal digital de Microsoft que se incluyó en la primera versión de
Windows como novedad del sistema operativo.
El asistente personal que ahora también se enfoca en el trabajo posee nuevas características
que cabe mencionar. Si se inicia sesión con una cuenta de Azure Active Directory los empleados
pueden dar acceso a Cortana a su identidad dentro de la empresa al mismo tiempo que se
permite la funcionalidad que esta ofrece fuera del trabajo.
Así mismo es posible eliminar un perfil de empleado (este empleado abandona la
organización) respetando las directivas de protección y exfiltración de datos y omitiendo por
tanto el contenido de la organización como correos, elementos del calendario, contactos, etc.
Nota: Para más información acerca de Cortana en el trabajo consulte el siguiente enlace:
https://docs.microsoft.com/es-es/windows/configuration/cortana-at-work/cortana-at-work-overview
10.2 IMPLEMENTACIÓN
MBR2GPT.EXE es una nueva herramienta de línea de comandos disponible en Microsoft
Windows 10, versión 1703 y versiones posteriores. MBR2GPT convierte un disco del estilo de
partición de registro de arranque maestro (MBR) a tabla de particiones GUID (GPT) sin modificar
ni eliminar los datos del disco. La herramienta se diseñó para ejecutarse desde un símbolo del
sistema del Entorno de preinstalación de Windows (Windows PE), pero también se puede
ejecutar desde el sistema operativo Microsoft Windows 10 completo.
El formato de partición GPT es más reciente y permite el uso de más y mayores particiones de
disco. También proporciona mayor confiabilidad de los datos, admite tipos de partición
adicionales y mayores velocidades de arranque y apagado. Si se convierte el disco del sistema de
un equipo de MBR a GPT, también se debe configurar el equipo para arrancar en modo UEFI, por
lo que es importante conocer si el dispositivo es compatible con UEFI antes de intentar convertir
el disco del sistema.
Entre las características de seguridad adicionales de Microsoft Windows10 que se habilitan al
arrancar en el modo UEFI se incluyen:
a) Arranque seguro.
b) Controlador antimalware de inicio temprano (ELAM).
c) Arranque seguro de Windows.
d) Arranque medido.
e) Device Guard.
f) Credential Guard y desbloqueo de BitLocker en red.
Nota: Consulte el siguiente enlace para más información: https://docs.microsoft.com/es-
es/windows/deployment/mbr-to-gpt
10.7 TELEMETRÍA
Se agregó recientemente la opción de descargar compilaciones de Microsoft Windows 10
Insider Preview con las credenciales corporativas de Azure Active Directory (AAD). Al realizar la
inscripción de dispositivos en AAD, aumenta la visibilidad de los comentarios enviados por los
11.4 BITLOCKER
Se cambia la longitud mínima del PIN de 6 a 4, con un valor predeterminado de 6.
Nota: Obtenga más información acerca de BitLocker a través del siguiente enlace:
https://docs.microsoft.com/es-es/windows/security/information-protection/bitlocker/bitlocker-group-
policy-settings#bkmk-unlockpol3