Introducción a la seguridad de Surface
A medida que evolucionan las ciberamenazas, las estrategias para combatirlas también deben evolucionar. Microsoft Surface adopta un enfoque proactivo y "Confianza cero" para abordar las amenazas emergentes mediante la inserción de características de seguridad avanzadas en todos los niveles de forma predeterminada, desde hardware hasta servicios en la nube, desde la concepción del producto hasta la retirada, lo que garantiza que los dispositivos Surface permanezcan altamente seguros, adaptables y resistentes durante todo su ciclo de vida.
La seguridad del chip a la nube es fundamental para la estrategia de Surface. Ofrecemos sólidas protecciones de plataforma con eficaces funcionalidades de seguridad Windows 11 habilitadas de forma predeterminada. A medida que avanzamos hacia un futuro habilitado para la inteligencia artificial, Surface ayuda a las organizaciones a reforzar su posición de seguridad en hardware, sistema operativo, datos, aplicaciones e identidad con una base de protección integrada.
Cadena de suministro de superficie protegida
Para ayudar a garantizar que los dispositivos Surface sean "seguros por diseño, seguros de forma predeterminada y seguros en la implementación", Microsoft aplica estrictos controles de seguridad en todo el ciclo de vida del producto. Estos controles cubren componentes de hardware físico y software. Los dispositivos Surface se someten a revisiones de seguridad estrictas a partir de la concepción, pasando por el diseño, el desarrollo, la producción, la entrega y el mantenimiento. Estas revisiones de seguridad completas admiten una cadena de confianza sin problemas a lo largo del ciclo de vida del dispositivo.
En el nivel de fabricación, Microsoft realiza auditorías periódicas de proveedores para evitar posibles amenazas como ransomware, phishing y malware. Además, los dispositivos Surface también se benefician de los programas de seguridad de la Asociación aduana-comercio contra el terrorismo (C-TPAT) y la Asociación de Protección de Activos Transportados (TAPA), que protegen aún más el comercio mundial y admiten la logística segura para el envío de dispositivos Surface en todo el mundo.
En el caso del software, Microsoft desarrolló el ciclo de vida de desarrollo seguro (SDL) y aplicó este marco en todos los productos para adaptarse proactivamente al cambiante panorama de amenazas y a las demandas regulatorias, como la Orden Ejecutiva de EE. UU. 14028 ("Mejora de la ciberseguridad de la nación"). Además, Microsoft y sus proveedores deben firmar digitalmente componentes de software, usar canales y protocolos seguros para la comunicación y proporcionar actualizaciones puntuales y periódicas a los dispositivos Surface para solucionar posibles problemas. Por último, el desarrollo de UEFI de Surface se asocia con project mu de código abierto de Microsoft para ofrecer una pila de interfaz de firmware extensible (UEFI) totalmente propiedad de Microsoft para cada dispositivo Surface, lo que reduce la dependencia de los proveedores de firmware que no son de Microsoft, lo que proporciona transparencia y protección para los niveles más bajos y confidenciales del dispositivo.
Al poseer tanto el diseño de hardware como el desarrollo de firmware, Microsoft minimiza los riesgos de la cadena de suministro, lo que permite respuestas rápidas a posibles vulnerabilidades. Con estas prácticas proactivas, los dispositivos Surface están diseñados para cumplir los estándares más altos para la seguridad de la cadena de suministro digital y física. Este enfoque unificado e interno mejora la seguridad de los dispositivos Surface antes de que incluso salgan de fábrica.
Componentes creados & diseñados por Microsoft
Microsoft diseña y mantiene dispositivos Surface para ofrecer a los clientes un control completo, protección proactiva y tranquilidad en cualquier entorno de trabajo. Los dispositivos Surface vienen equipados con las principales características de seguridad de Microsoft para protegerte de ataques sofisticados y simplificar la administración de dispositivos.
Seguridad de Surface integrada
Desde el momento en que presionas el botón de encendido hasta el momento en que apagas el dispositivo, Surface ofrece seguridad integrada y de vanguardia en todas las fases de su ciclo de vida.
Cada dispositivo Surface que ejecuta Windows 11 de fábrica usa un módulo de plataforma segura (TPM) 2.0 que ayuda a garantizar la integridad de la plataforma mediante la prevención de alteraciones y la administración de claves criptográficas para varias operaciones seguras. El TPM admite la raíz de confianza de hardware, un módulo dedicado que ayuda a crear un límite de seguridad basado en hardware para garantizar que el dispositivo se inicia en un estado de confianza. Juntos, el TPM y la función raíz de confianza son un anclaje seguro para el cifrado integrado y las operaciones seguras, estableciendo la base de seguridad para BitLocker, la seguridad basada en virtualización (VBS),la integridad de memoria/HVCI, la seguridad mejorada de Sign-In (ESS) para Windows Hello para empresas y otras operaciones seguras.
A través de las comprobaciones de virtualización e integridad proporcionadas por VBS y HVCI respectivamente, el kernel del dispositivo se hospeda por separado del sistema operativo para un kernel protegido, lo que significa que incluso si el sistema operativo está en peligro, el kernel sigue estando protegido. Además , kernel DMA Protection ayuda a proteger la memoria del dispositivo frente a ataques de acceso directo a memoria (DMA) mediante ataques de unidad, ya que protege el kernel contra periféricos externos que obtienen acceso no autorizado a la memoria.
Para admitir la integridad del arranque del dispositivo al encenderlo, Arranque seguro usa la raíz de confianza del dispositivo para evitar que el firmware no autorizado se ejecute en el momento del arranque. Habilitado por UEFI yTPM 2.0 creados por Microsoft, ayuda a garantizar que solo se ejecute el firmware autorizado antes de que se cargue el sistema operativo. Este firmware debe originarse en Microsoft, sus proveedores de hardware independientes (IVS) o repositorios de código abierto aprobados y no modificarse durante el tránsito y el aprovisionamiento en el dispositivo. Este proceso protege la integridad del firmware en cada fase de la secuencia de arranque, desde presionar el botón de encendido hasta iniciar el sistema operativo. Como parte de Protección del sistema inicio seguro, los dispositivos Surface también protegen el arranque mediante la raíz dinámica de la medición de confianza (DRTM) o la reducción de la superficie expuesta a ataques de firmware (FASR),que establecen una raíz de confianza basada en hardware diseñada para garantizar la integridad del proceso de arranque y defenderse contra ataques de nivel de firmware.
Muchas de estas características de seguridad integradas forman la base de Secured-Core PC (SCPC), que integra hardware, firmware y virtualización para proteger los dispositivos de diversas amenazas, incluidos malware, problemas de posesión física (como pérdida o robo) y ataques de acceso. SCPC ayuda a proteger los datos incluso si un dispositivo está en peligro.
Desde finales de 2021, cada dispositivo Surface que ejecuta Windows 11 es un equipo Secured-Core, con el mayor nivel de protección habilitado de forma inmediata. Las siguientes características de seguridad son un subconjunto de esas características habilitadas de forma predeterminada para todos los dispositivos ScpC Surface:
| Característica | Descripción | Aprende más |
|---|---|---|
| Módulo de plataforma segura (TPM) 2.0 | Un criptoprocesador seguro para garantizar la integridad de la plataforma proporcionando mecanismos de seguridad para evitar alteraciones y generar y administrar claves criptográficas para funciones como desbloquear la unidad del sistema, el cifrado de disco, medir el proceso de arranque y la autenticación biométrica. | Información general sobre la tecnología del Módulo de plataforma segura |
| Raíz de confianza de hardware | Ayuda a establecer un estado de arranque de confianza mediante la aplicación del TPM del dispositivo y las funcionalidades de medición raíz de confianza para mitigar las vulnerabilidades de firmware. Crea un límite de seguridad basado en hardware, aislando la memoria del sistema del sistema operativo para proteger los servicios críticos y los datos confidenciales frente a vulnerabilidades del sistema operativo, lo que admite la integridad del sistema a través de la atestación. | Raíz de confianza de hardware |
| BitLocker | Proporciona cifrado para abordar las amenazas de robo de datos o exposición de datos de dispositivos perdidos, robados o insuficientemente retirados. Cuando está habilitado, BitLocker ayuda a garantizar que los datos permanezcan inaccesibles incluso si el dispositivo cae en manos no autorizadas. | Introducción a BitLocker |
| Seguridad basada en virtualización (VBS) | Usa la virtualización de hardware para crear y aislar una región segura de memoria del sistema operativo normal. Windows puede usar este "modo seguro virtual" para hospedar una serie de soluciones de seguridad, a fin de proteger las operaciones seguras frente a posibles vulnerabilidades o vulnerabilidades de seguridad en el sistema operativo. | Seguridad basada en virtualización (VBS) |
|
Integridad de la memoria También conocido como Integridad de código aplicada por hipervisor (HVCI) |
Ayuda a mantener la integridad del código en el kernel, un área con privilegios elevados del sistema operativo. Comprueba todos los controladores y archivos binarios del modo kernel antes de la ejecución y impide que los controladores sin signo o los archivos del sistema se carguen en la memoria. Al funcionar en un entorno aislado, comprueba la integridad del código del kernel de acuerdo con la directiva de firma del kernel. | Habilitar la protección basada en virtualización de la integridad de código |
| Seguridad de Sign-In mejorada (ESS) | Usa VBS y TPM 2.0 para la comunicación aislada y segura de la biometría para la autenticación a fin de habilitar Windows Hello con el inicio de sesión biométrico sin contraseña. | Seguridad de inicio de sesión mejorada de Windows Hello para empresas |
| Windows Hello para empresas | Permite el inicio de sesión sin contraseña mediante la autenticación en dos fases basada en biometría segura (ESS) o PIN y credenciales específicas del dispositivo asociadas a la identidad empresarial. Este método de autenticación ofrece seguridad y comodidad elevados para los usuarios. | Cómo funciona Windows Hello para empresas |
| Kernel protegido | Funciona dentro de un entorno virtualizado para protegerse del sistema operativo Windows, ya que garantiza que se supere todas las comprobaciones de directivas de integridad de código. Usa VBS y HVCI para un entorno aislado para la protección del kernel frente a posibles vulnerabilidades del sistema operativo. | Kernel protegido |
| Protección de DMA para kernel | Protege contra periféricos externos de obtener acceso no autorizado a la memoria. Ayuda a protegerse frente a ataques DMA basados en unidades. | Protección de DMA para kernel |
| UEFI creado por Microsoft | Firmware que configura el dispositivo y arranca el sistema operativo desarrollado conjuntamente por Microsoft y Surface. Proporciona servicios en tiempo de ejecución de firmware y, con Microsoft Intune, mejora significativamente el control sobre el hardware a través de la administración local o basada en la nube. |
Surface UEFI: evolución en el arranque, seguridad & administración de dispositivos para crear un equipo seguro líder del sector Administrar la configuración de la UEFI de Surface |
| Arranque seguro | Garantiza que un dispositivo arranque solo software de confianza comprobando la firma de cada fragmento de software de arranque antes de pasar a la siguiente fase de arranque. Este proceso establece entregas forzadas por firmas entre los entornos UEFI, bootloader, kernel y aplicación para bloquear ataques de malware u otras posibles amenazas en la secuencia de arranque. | Arranque seguro |
| Raíz dinámica de la medición de confianza (DRTM) | Arranca el dispositivo de un estado de confianza al forzar las CPU a una ruta de acceso de código conocida y medida para una raíz de confianza de hardware establecida dinámicamente durante el tiempo de ejecución para admitir la integridad del sistema. | Forzar que el código de firmware se mida y atestigua mediante el inicio seguro en Windows 10 |
| Reducción de la superficie expuesta a ataques de firmware (FASR) | Establece una ruta de arranque certificada que minimiza la exposición del firmware a posibles ataques limitando el código ejecutable en el entorno de firmware. | Reducción de la superficie expuesta a ataques de firmware (FASR) |
Ventaja de seguridad comercial de Surface
Administración remota
Los administradores de TI pueden administrar dispositivos Surface de forma remota. Microsoft Intune centro de administración con Intune y Windows Autopilot permite la administración remota completa de dispositivos Surface desde la nube de Azure, lo que proporciona dispositivos totalmente configurados a los usuarios al iniciarse. Las características de borrado y retirada permiten a TI reutilizar rápidamente un dispositivo para un nuevo usuario remoto o borrar un dispositivo que ha sido robado. Estas funcionalidades permiten respuestas rápidas y seguras, lo que permite la eliminación remota de todos los datos de la empresa y la reconfiguración de surface como un dispositivo completamente nuevo.
Como parte de Microsoft Intune, Device Firmware Configuration Interface (DFCI) permite la administración basada en la nube de la configuración de firmware, incluida la deshabilitación remota del hardware y el bloqueo de la configuración de UEFI. Como alternativa similar, Surface Enterprise Management Mode (SEMM) es otra solución de administración para proteger y administrar la configuración de firmware dentro de una organización.
Seguridad con capacidad de respuesta
En una era digital en rápida evolución, la capacidad de reaccionar rápida y proactivamente es fundamental. Microsoft Defender para punto de conexión ofrece protección basada en inteligencia artificial y en tiempo real contra amenazas avanzadas, lo que ayuda a proteger la información confidencial y las comunicaciones. Las organizaciones se benefician de la eficacia de Windows Update para empresas mediante una pila mantenida por Microsoft de aplicaciones de firmware y sistema operativo. Este servicio mantiene los sistemas actualizados con las protecciones de seguridad más recientes y permite la administración de TI de dispositivos ya encargados.
| Característica | Descripción | Aprende más |
|---|---|---|
| Microsoft Intune | Una solución de administración de puntos de conexión basada en la nube que ayuda a las organizaciones a administrar el acceso de usuarios, las aplicaciones y los dispositivos, lo que garantiza un acceso seguro a los recursos corporativos. Admite el modelo de seguridad Confianza cero mediante la aplicación del cumplimiento de dispositivos, la integración con los servicios de defensa y la protección de la identidad y los datos de la aplicación. | Microsoft Intune administra identidades, administra aplicaciones y administra dispositivos de forma segura |
| Windows Autopilot | Permite la configuración previa y la configuración basada en la nube de nuevos dispositivos para prepararlos para un uso productivo y minimizar la tensión para los administradores de TI. También se puede usar para restablecer, reutilizar o recuperar dispositivos para simplificar el ciclo de vida de los dispositivos Windows. | Introducción a Windows Autopilot |
| Interfaz de configuración del firmware del dispositivo (DFCI) | Permite la administración remota de la configuración de UEFI en dispositivos inscritos en Windows Autopilot y administrados a través de Microsoft Intune. Permite el control remoto de la configuración de firmware, la deshabilitación de componentes de hardware y la aplicación de configuraciones autorizadas para reforzar la seguridad del dispositivo. | Administrar DFCI en dispositivos Surface |
| Modo de administración de empresa de Surface (SEMM) | Permite la administración empresarial centralizada de la configuración de firmware de UEFI en entornos locales, híbridos y en la nube. Permite a los administradores de TI preparar las opciones de configuración de UEFI e instalarlas en dispositivos Surface. | Introducción al modo de administración de Surface Enterprise |
| Microsoft Defender para punto de conexión | Plataforma de seguridad de nivel empresarial que detecta, evita y responde a amenazas sofisticadas. Proporciona una sólida seguridad de punto de conexión controlada por inteligencia artificial para dispositivos Surface administrados. | Microsoft Defender para punto de conexión |
| Windows Update para empresas | Permite a los administradores de TI mantener siempre actualizados los dispositivos cliente windows de su organización con las últimas actualizaciones de seguridad y características de Windows mediante la conexión directa de estos sistemas al servicio Windows Update. | ¿Qué es Windows Update para empresas? |
Escalado de la seguridad
A medida que evoluciona el panorama de amenazas, Surface está empezando a adoptar más características de seguridad en dispositivos seleccionados. Estas características aún no se han integrado en toda la cartera de productos Surface, pero se escalan en diferentes líneas de productos en los próximos años. Estas son algunas características de seguridad específicas del producto:
| Característica | Descripción | Aprende más |
|---|---|---|
| Expansión de la seguridad de la memoria | El lenguaje de programación Rust garantiza ciertas garantías de seguridad de memoria que pueden reducir hasta un 70 % de las vulnerabilidades en comparación con el código C tradicional. Los componentes dirigidos dentro del software y el firmware de Surface se están traduciendo en Rust, empezando por partes de las pilas ueFI y unidad de microcontrolador (MCU), así como creando un marco de controladores para el desarrollo de controladores de Rust. |
Compatibilidad de Rust con el desarrollo de UEFI a través de Project Mu Plataforma de desarrollo de controladores de Rust de código abierto |
| Procesador de seguridad de Microsoft Pluton | El procesador de seguridad De Plutón de Microsoft es un criptoprocesador seguro integrado en la CPU para la seguridad en el núcleo del dispositivo. | Procesador de seguridad Microsoft Pluton |
| Microsoft Pluton TPM | Microsoft Pluton admite TPM 2.0 para una raíz de confianza de silicio para proteger la información confidencial y las claves de cifrado. También admite la ingesta de mejoras de seguridad a través de Windows Novedades. | Microsoft Pluton como módulo de plataforma segura |
| Copilot+ PC | Equipos con unidades de procesamiento neuronal (NPU) integradas que aceleran las experiencias y operaciones de inteligencia artificial (IA) dentro del dispositivo. | Más información sobre los equipos Copilot+ y los equipos Windows 11 de Surface |
Aunque estas características de seguridad se escalan, más dispositivos Surface los integrarán de forma predeterminada en sus productos. Por ejemplo, los equipos Copilot+, los nuevos equipos Windows con unidades de procesamiento neuronal (NPU) integradas que aceleran las experiencias y operaciones de inteligencia artificial (IA) dentro del dispositivo, contienen el procesador Plutón de Microsoft habilitado de forma predeterminada, además del conjunto completo de características de seguridad de Surface que se describen en esta página.
Referencias
La característica FASR es exclusiva de los productos Surface diseñados por Intel. FASR no se aplica a los productos Surface diseñados con procesadores Qualcomm (QC) o AMD.