Seguridad de red
Windows 11 aumenta el nivel de seguridad de red, ofreciendo una protección completa para ayudar a las personas a trabajar con confianza desde casi cualquier lugar. Para ayudar a reducir la superficie expuesta a ataques de una organización, la protección de red en Windows impide que las personas accedan a direcciones IP y dominios peligrosos que pueden hospedar estafas de phishing, vulnerabilidades de seguridad y otro contenido malintencionado. Con los servicios basados en la reputación, la protección de red bloquea el acceso a dominios potencialmente dañinos y de baja reputación y direcciones IP.
Las nuevas versiones del protocolo DNS y TLS refuerzan las protecciones de un extremo a otro necesarias para las aplicaciones, los servicios web y las redes Confianza cero. El acceso a archivos agrega un escenario de red que no es de confianza con bloque de mensajes del servidor a través de QUIC y nuevas funcionalidades de cifrado y firma. Wi-Fi y los avances de Bluetooth también proporcionan una mayor confianza en las conexiones a otros dispositivos. Además, las plataformas VPN y Firewall de Windows ofrecen nuevas formas de configurar y depurar software fácilmente.
En entornos empresariales, la protección de red funciona mejor con Microsoft Defender para punto de conexión, que proporciona informes detallados sobre eventos de protección como parte de escenarios de investigación más grandes.
Aprende más
Seguridad de la capa de transporte (TLS)
Seguridad de la capa de transporte (TLS) es un protocolo de seguridad popular que cifra los datos en tránsito para ayudar a proporcionar un canal de comunicación más seguro entre dos puntos de conexión. Windows habilita las versiones de protocolo más recientes y los conjuntos de cifrado seguros de forma predeterminada y ofrece un conjunto completo de extensiones, como la autenticación de cliente para mejorar la seguridad del servidor, o la reanudación de sesión para mejorar el rendimiento de las aplicaciones. TLS 1.3 es la versión más reciente del protocolo y está habilitada de forma predeterminada en Windows. Esta versión ayuda a eliminar algoritmos criptográficos obsoletos, a mejorar la seguridad en versiones anteriores y a cifrar la mayor cantidad posible del protocolo de enlace TLS. El protocolo de enlace es más eficaz con un viaje de ida y vuelta menos por conexión en promedio y solo admite conjuntos de cifrado fuertes que proporcionan un secreto directo perfecto y menos riesgo operativo. El uso de TLS 1.3 proporciona más privacidad y latencias más bajas para las conexiones en línea cifradas. Si la aplicación cliente o de servidor de cualquier lado de la conexión no admite TLS 1.3, la conexión vuelve a TLS 1.2. Windows usa la versión más reciente de Seguridad de la capa de transporte de datagramas (DTLS) 1.2 para las comunicaciones UDP.
Aprende más
Seguridad del sistema de nombres de dominio (DNS)
En Windows 11, el cliente DNS de Windows admite DNS a través de HTTPS y DNS a través de TLS, dos protocolos DNS cifrados. Estos permiten a los administradores asegurarse de que sus dispositivos protegen sus consultas de nombres frente a atacantes en la ruta de acceso, ya sean observadores pasivos que registren el comportamiento de exploración o atacantes activos que intenten redirigir clientes a sitios malintencionados. En un modelo de Confianza cero en el que no se coloca ninguna confianza en un límite de red, es necesario tener una conexión segura a un solucionador de nombres de confianza.
Windows 11 proporciona controles de programación y directiva de grupo para configurar el comportamiento de DNS a través de HTTPS. Como resultado, los administradores de TI pueden ampliar la seguridad existente para adoptar nuevos modelos, como Confianza cero. Los administradores de TI pueden exigir dns a través del protocolo HTTPS, lo que garantiza que los dispositivos que usan DNS no seguros no puedan conectarse a los recursos de red. Los administradores de TI también tienen la opción de no usar DNS a través de HTTPS o DNS a través de TLS para implementaciones heredadas en las que se confía en los dispositivos perimetrales de red para inspeccionar el tráfico DNS de texto sin formato. De forma predeterminada, Windows 11 aplazará al administrador local en el que los solucionadores deben usar DNS cifrado.
La compatibilidad con el cifrado DNS se integra con configuraciones dns de Windows existentes, como la tabla de directivas de resolución de nombres (NRPT), el archivo hosts del sistema y las resoluciones especificadas por adaptador de red o perfil de red. La integración ayuda a Windows 11 asegurarse de que las ventajas de una mayor seguridad de DNS no regresen los mecanismos de control de DNS existentes.
Protección bluetooth
El número de dispositivos Bluetooth conectados a Windows 11 sigue aumentando. Los usuarios de Windows conectan sus auriculares Bluetooth, ratones, teclados y otros accesorios y mejoran su experiencia diaria de PC disfrutando de streaming, productividad y juegos. Windows admite todos los protocolos de emparejamiento Bluetooth estándar, incluidas las conexiones clásicas y seguras de LE, el emparejamiento simple seguro y el emparejamiento clásico y heredado de LE. Windows también implementa la privacidad de LE basada en host. Las actualizaciones de Windows ayudan a los usuarios a mantenerse al día con las características de seguridad del sistema operativo y del controlador de acuerdo con el Grupo de interés especial (SIG) de Bluetooth y los informes de vulnerabilidades de Standard, así como problemas más allá de los requeridos por los estándares principales del sector de Bluetooth. Microsoft recomienda encarecidamente que el firmware y el software de los accesorios Bluetooth se mantengan actualizados.
Los entornos administrados por TI tienen varias opciones de configuración de directiva disponibles a través de proveedores de servicios de configuración, directiva de grupo y PowerShell. Esta configuración se puede administrar a través de soluciones de administración de dispositivos como Microsoft Intune[4]. Puede configurar Windows para que use la tecnología Bluetooth y, al mismo tiempo, admitir las necesidades de seguridad de su organización. Por ejemplo, puedes permitir la entrada y el audio mientras bloqueas la transferencia de archivos, forzar los estándares de cifrado, limitar la detectabilidad de Windows o incluso deshabilitar Bluetooth completamente para los entornos más confidenciales.
Aprende más
conexiones Wi-Fi
Windows Wi-Fi admite métodos de autenticación y cifrado estándar del sector al conectarse a redes Wi-Fi. WPA (Acceso protegido por Wi-Fi) es un estándar de seguridad definido por Wi-Fi Alliance (WFA) para proporcionar cifrado de datos sofisticados y una mejor autenticación del usuario.
El estándar de seguridad actual para la autenticación de Wi-Fi es WPA3, que proporciona un método de conexión más seguro y confiable en comparación con WPA2 y los protocolos de seguridad anteriores. Windows admite tres modos WPA3: WPA3 Personal, WPA3 Enterprise y WPA3 Enterprise suite B de 192 bits.
Windows 11 incluye WPA3 Personal con el nuevo protocolo H2E y WPA3 Enterprise Suite B de 192 bits. Windows 11 también admite WPA3 Enterprise, que incluye la validación mejorada de certificados de servidor y TLS 1.3 para la autenticación mediante la autenticación EAP-TLS.
También se incluye el cifrado inalámbrico oportunista (OWE), una tecnología que permite a los dispositivos inalámbricos establecer conexiones cifradas a puntos de acceso públicos Wi-Fi.
5G y eSIM
Las redes 5G usan un cifrado más seguro y una mejor segmentación de red en comparación con las generaciones anteriores de protocolos móviles. A diferencia de Wi-Fi, el acceso 5G siempre se autentica mutuamente. Las credenciales de acceso se almacenan en un eSIM certificado por EAL4 que está incrustado físicamente en el dispositivo, lo que dificulta mucho la manipulación de los atacantes. Juntos, 5G y eSIM proporcionan una base sólida para la seguridad.
Aprende más
Firewall de Windows
Firewall de Windows es una parte importante de un modelo de seguridad por capas. Proporciona filtrado de tráfico de red bidireccional basado en host, lo que bloquea el flujo de tráfico no autorizado que entra o sale del dispositivo local en función de los tipos de redes a las que está conectado el dispositivo.
Firewall de Windows ofrece las siguientes ventajas:
- Reduce el riesgo de amenazas de seguridad de red: Firewall de Windows reduce la superficie expuesta a ataques de un dispositivo con reglas que restringen o permiten el tráfico por muchas propiedades, como direcciones IP, puertos o rutas de acceso del programa. Esta funcionalidad aumenta la capacidad de administración y reduce la probabilidad de un ataque correcto.
- Protege la información confidencial y la propiedad intelectual: al integrarse con seguridad de protocolo de Internet (IPSec), Firewall de Windows proporciona una manera sencilla de aplicar las comunicaciones de red autenticadas de un extremo a otro. Proporciona acceso escalable y en capas a los recursos de red de confianza, lo que ayuda a aplicar la integridad de los datos y, opcionalmente, ayuda a proteger la confidencialidad de los datos.
- Amplía el valor de las inversiones existentes: dado que Firewall de Windows es un firewall basado en host que se incluye con el sistema operativo, no se requiere hardware ni software adicionales. Firewall de Windows también está diseñado para complementar las soluciones de seguridad de red existentes que no son de Microsoft a través de una interfaz de programación de aplicaciones (API) documentada.
Windows 11 facilita el análisis y la depuración del Firewall de Windows. El comportamiento de IPSec se integra con el Monitor de paquetes, una herramienta de diagnóstico de red entre componentes integrada para Windows. Además, los registros de eventos de Firewall de Windows se han mejorado para garantizar que una auditoría pueda identificar el filtro específico responsable de cualquier evento determinado. Esto permite el análisis del comportamiento del firewall y la captura de paquetes enriquecida sin depender de herramientas de terceros.
Los administradores pueden configurar más opciones a través de las plantillas de directiva firewall y regla de firewall en el nodo Endpoint Security de Microsoft Intune[4], mediante la compatibilidad con la plataforma del proveedor de servicios de configuración de firewall (CSP) y aplicando esta configuración a los puntos de conexión de Windows.
Novedades de Windows 11, versión 24H2
El proveedor de servicios de configuración de firewall (CSP) de Windows ahora aplica un enfoque de todo o nada para aplicar reglas de firewall dentro de cada bloque atómico. Anteriormente, si el CSP detectaba un problema con cualquier regla de un bloque, no solo dejaba de procesar esa regla, sino que también dejaba de procesar las reglas posteriores, lo que podría dejar una brecha de seguridad con bloques de reglas parcialmente implementados. Ahora, si alguna regla del bloque no se puede aplicar correctamente, el CSP deja de procesar las reglas posteriores y revierte todas las reglas de ese bloque atómico, lo que elimina la ambigüedad de los bloques de reglas parcialmente implementados.
Aprende más
Redes privadas virtuales (VPN)
Las organizaciones han dependido durante mucho tiempo de Windows para proporcionar soluciones de red privada virtual (VPN) confiables, seguras y administrables. La plataforma cliente VPN de Windows incluye protocolos VPN integrados, compatibilidad con la configuración, una interfaz de usuario de VPN común y compatibilidad de programación con protocolos VPN personalizados. Las aplicaciones VPN están disponibles en la Microsoft Store para VPN empresariales y de consumidor, incluidas las aplicaciones para las puertas de enlace de VPN empresariales más populares.
En Windows 11, hemos integrado los controles VPN más usados directamente en el panel Acciones rápidas de Windows 11. En el panel Acciones rápidas, los usuarios pueden comprobar el estado de su VPN, iniciar y detener la conexión y abrir fácilmente Configuración para obtener más controles.
La plataforma VPN de Windows se conecta a Microsoft Entra ID[4] y al acceso condicional para el inicio de sesión único, incluida la autenticación multifactor (MFA) a través de Microsoft Entra ID. La plataforma VPN también admite la autenticación clásica unida a un dominio. Es compatible con Microsoft Intune[4] y otras soluciones de administración de dispositivos. El perfil de VPN flexible admite protocolos integrados y protocolos personalizados. Puede configurar varios métodos de autenticación y puede iniciarse automáticamente según sea necesario o iniciarse manualmente por el usuario final. También admite VPN de túnel dividido y VPN exclusiva con excepciones para sitios externos de confianza.
Con las aplicaciones VPN de Plataforma universal de Windows (UWP), los usuarios finales nunca se bloquean en una versión anterior de su cliente VPN. Las aplicaciones VPN de la tienda se actualizarán automáticamente según sea necesario. Naturalmente, las actualizaciones están en el control de los administradores de TI.
La plataforma VPN de Windows está optimizada y protegida para proveedores de VPN basados en la nube, como VPN de Azure. Características como la autenticación de Microsoft Entra ID, la integración de la interfaz de usuario de Windows, los selectores de tráfico IKE de plomería y la compatibilidad con el servidor están integradas en la plataforma VPN de Windows. La integración en la plataforma VPN de Windows conduce a una experiencia de administración de TI más sencilla. La autenticación de usuario es más coherente y los usuarios pueden encontrar y controlar fácilmente su VPN.
Aprende más
Servicios de archivos de bloque de mensajes de servidor
Los servicios de archivos y bloque de mensajes de servidor (SMB) son las cargas de trabajo de Windows más comunes en el ecosistema comercial y del sector público. Los usuarios y las aplicaciones dependen de SMB para acceder a los archivos que ejecutan organizaciones de todos los tamaños.
Windows 11 introdujo actualizaciones de seguridad importantes para satisfacer las amenazas actuales, incluido el cifrado AES-256 SMB, la firma SMB acelerada, el cifrado de red de acceso a memoria de directorio remoto (RDMA) y SMB a través de QUIC para redes que no son de confianza.
Novedades de Windows 11, versión 24H2
Las nuevas opciones de seguridad incluyen la firma SMB obligatoria de forma predeterminada, el bloqueo NTLM, la limitación de velocidad de autenticación y otras mejoras.
Aprende más