Equipos de núcleo seguro de Windows 11
Microsoft trabaja estrechamente con asociados OEM para garantizar que todos los sistemas Windows certificados proporcionen un entorno operativo seguro. Windows se integra estrechamente con el hardware para ofrecer protecciones que aprovechan las funcionalidades de hardware disponibles:
- Seguridad de Windows de línea base: línea base recomendada para todos los sistemas individuales que proporciona protecciones fundamentales de integridad del sistema. Aprovecha TPM 2.0 para una raíz de confianza de hardware, arranque seguro y cifrado de unidad BitLocker.
- Seguridad basada en virtualización habilitada: aprovecha las funcionalidades de virtualización del hardware y el hipervisor a fin de proporcionar protección adicional para subsistemas y datos críticos.
- Núcleo protegido: recomendado para los sistemas más confidenciales y sectores como agencias financieras, sanitarias y gubernamentales. Se basa en las características anteriores y saca provecho de funcionalidades avanzadas de procesador para proporcionar protección frente a ataques de firmware.
Equipos de núcleo protegido
Microsoft trabaja estrechamente con asociados de OEM y proveedores de silicio para crear equipos de núcleo protegido que incluyan hardware, firmware y software profundamente integrados a fin de garantizar una mayor seguridad para dispositivos, identidades y datos.
Los equipos de núcleo protegido ofrecen protecciones útiles contra ataques sofisticados y pueden proporcionar mayor garantía al controlar datos críticos en algunos de los sectores más confidenciales, como para los trabajadores sanitarios que controlan registros médicos y otra información de identificación personal (PII), roles comerciales que controlan datos altamente confidenciales y de gran impacto empresarial, como un controlador financiero con datos de ganancias.
Para equipos portátiles de uso general, tabletas, 2 en 1, estaciones de trabajo móviles y equipos de escritorio, Microsoft recomienda usar líneas base de seguridad para una configuración óptima. Para más información, vea Líneas base de seguridad de Windows.
La seguridad de Windows de línea base es compatible con el arranque seguro, el cifrado de dispositivos Bitlocker, Microsoft Defender, Windows Hello y un chip TPM 2.0 a fin de proporcionar una raíz de confianza de hardware para la plataforma del sistema operativo. Estas características están diseñadas para proteger dispositivos modernos de uso general. Si es responsable de la toma de decisiones de compra de nuevos dispositivos, los dispositivos deben cumplir los requisitos de seguridad de Windows de línea base.
Qué hace que un equipo sea de núcleo protegido
Prestación | Característica | Requisito de hardware o firmware | Seguridad de Windows de línea base | Equipos de núcleo protegido |
---|---|---|---|---|
Creación de una raíz de confianza respaldada por hardware | ||||
Arranque seguro | El arranque seguro está habilitado en el BIOS de manera predeterminada. | ✅ | ✅ | ✅ |
Arranque seguro | CA UEFI de terceros que no es confiable de forma predeterminada, con opción de BIOS para habilitar la confianza | ✅ | ||
Módulo de plataforma segura 2.0 (TPM) | Cumpla los requisitos más recientes de Microsoft para la especificación Trusted Computing Group (TCG) | ✅ | ✅ | ✅ |
Protección de acceso directo a memoria (DMA) | El dispositivo admite la protección de acceso a memoria (protección DMA del kernel) | ✅ | ✅ | ✅ |
Defensa contra ataques de nivel de firmware (se puede usar cualquiera de los dos enfoques especificados) | Inicio seguro de Protección del sistema (D-RTM) con aislamiento System Management Mode (SMM) | Habilitado en el dispositivo (mediante inicio seguro) | ✅ | ✅ |
S-RTM y MM independiente con el supervisor MM (el enfoque implementado en dispositivos FASR) | Compatible con dispositivos que tienen el firmware de FASR | ✅ | ||
Protección del sistema operativo frente a la ejecución de código no comprobado | Hypervisor Code Integrity (HVCI) | Habilitado en el dispositivo | ✅ | ✅ |
Proporcionar protección y comprobación de identidades avanzadas | Windows Hello con Seguridad de inicio de sesión mejorada (ESS) | Un dispositivo con Windows Hello con ESS está habilitado si tiene componentes integrados de hardware de ESS para la autenticación facial o de huella digital, y la compatibilidad necesaria en BIOS | ✅* | ✅ |
Proteger los datos críticos si se pierde un dispositivo, lo roban o lo confiscan | Cifrado de BitLocker | BitLocker puede aprovechar TPM 2.0 para cifrar y proteger los datos | ✅ |
*Solo es posible en los dispositivos que tienen integrados sensores biométricos faciales o de huella digital para el inicio de sesión en Windows Hello.