estado del dispositivo Confianza cero y Windows
Las organizaciones necesitan un modelo de seguridad que se adapte de forma más eficaz a la complejidad del entorno de trabajo moderno. Los administradores de TI deben adoptar el área de trabajo híbrida, a la vez que protegen a las personas, dispositivos, aplicaciones y datos dondequiera que se encuentren. La implementación de un modelo de Confianza cero para la seguridad ayuda a abordar los entornos complejos de hoy en día.
Los principios Confianza cero son:
- Compruebe explícitamente. Autentique y autorice siempre en función de todos los puntos de datos disponibles, incluida la identidad del usuario, la ubicación, el estado del dispositivo, el servicio o la carga de trabajo, la clasificación de datos y la supervisión de anomalías.
- Use el acceso con privilegios mínimos. Limitar el acceso de usuario con acceso Just-In-Time y Just-Enough, directivas adaptables basadas en riesgos y protección de datos para ayudar a proteger los datos y mantener la productividad
- Suponga una infracción. Evite que los atacantes obtengan acceso para minimizar los posibles daños en los datos y sistemas. Proteger roles con privilegios, comprobar el cifrado de un extremo a otro, usar análisis para obtener visibilidad e impulsar la detección de amenazas para mejorar las defensas
El concepto Confianza cero de comprobación se aplica explícitamente a los riesgos introducidos por los dispositivos y los usuarios. Windows permite la atestación de estado del dispositivo y las funcionalidades de acceso condicional , que se usan para conceder acceso a los recursos corporativos.
El acceso condicional evalúa las señales de identidad para confirmar que los usuarios son quienes dicen que son antes de que se les conceda acceso a los recursos corporativos.
Windows 11 admite la atestación del estado del dispositivo, lo que ayuda a confirmar que los dispositivos están en un buen estado y no se han manipulado. Esta funcionalidad ayuda a los usuarios a acceder a los recursos corporativos, ya sea en la oficina, en casa o cuando viajan.
La atestación ayuda a comprobar la identidad y el estado de los componentes esenciales y que el dispositivo, el firmware y el proceso de arranque no se han modificado. La información sobre el firmware, el proceso de arranque y el software se usa para validar el estado de seguridad del dispositivo. Esta información se almacena criptográficamente en el módulo de plataforma segura (TPM) del coprocesador de seguridad. Una vez que se atestigua el dispositivo, se le puede conceder acceso a los recursos.
Atestación de estado del dispositivo en Windows
Durante el proceso de arranque pueden surgir muchos riesgos de seguridad, ya que este proceso puede ser el componente con más privilegios de todo el sistema. El proceso de verificación usa la atestación remota como canal seguro para determinar y presentar el estado del dispositivo. La atestación remota determina:
- Si el dispositivo puede ser de confianza
- Si el sistema operativo ha arrancado correctamente
- Si el sistema operativo tiene habilitado el conjunto correcto de características de seguridad
Estas determinaciones se realizan con la ayuda de una raíz segura de confianza mediante el módulo de plataforma segura (TPM). Los dispositivos pueden atestiguar que el TPM está habilitado y que el dispositivo no se ha alterado.
Windows incluye muchas características de seguridad para ayudar a proteger a los usuarios de malware y ataques. Sin embargo, confiar en los componentes de seguridad de Windows solo se puede lograr si la plataforma arranca según lo esperado y no se ha alterado. Windows se basa en el arranque seguro de unified Extensible Firmware Interface (UEFI), el antimalware de inicio temprano (ELAM), la raíz dinámica de confianza para la medición (DRTM), el arranque de confianza y otras características de seguridad de hardware y firmware de bajo nivel. Cuando se enciende el equipo hasta que se inicia el antimalware, Windows se respalda con la configuración de hardware adecuada para ayudarle a mantenerse seguro. El arranque medido y de confianza, implementado por cargadores de arranque y BIOS, comprueba y registra criptográficamente cada paso del arranque de forma encadenada. Estos eventos se enlazan a un coprocesador de seguridad (TPM) que actúa como raíz de confianza. La atestación remota es el mecanismo por el que un servicio lee y comprueba estos eventos para proporcionar un informe verificable, imparcial y resistente a alteraciones. La atestación remota es el auditor de confianza del arranque del sistema, lo que permite que entidades específicas confíen en el dispositivo.
Un resumen de los pasos implicados en la atestación y Confianza cero en el lado del dispositivo son los siguientes:
Durante cada paso del proceso de arranque, como una carga de archivos, la actualización de variables especiales, etc., la información como los hashes de archivo y la firma se miden en los PCR de TPM. Las medidas están enlazadas por una especificación de grupo de computación de confianza (TCG) que determina qué eventos se pueden registrar y el formato de cada evento.
Una vez que Windows ha arrancado, el atestador o comprobador solicita al TPM que recupere las medidas almacenadas en su registro de configuración de plataforma (PCR) junto con un registro de TCG. Las medidas de ambos componentes forman juntos la evidencia de atestación que se envía al servicio de atestación.
El TPM se comprueba mediante el uso de las claves o el material criptográfico disponibles en el conjunto de chips con un servicio de certificados de Azure
A continuación, esta información se envía al servicio de atestación en la nube para comprobar que el dispositivo es seguro. Microsoft Endpoint Manger se integra con Microsoft Azure Attestation para revisar el estado del dispositivo de forma completa y conectar esta información con Microsoft Entra acceso condicional. Esta integración es clave para Confianza cero soluciones que ayudan a enlazar la confianza a un dispositivo que no es de confianza.
El servicio de atestación realiza las siguientes tareas:
- Compruebe la integridad de la evidencia. Esta comprobación se realiza mediante la validación de los PCR que coinciden con los valores recomputados reproduciendo el registro de TCG.
- Compruebe que el TPM tiene una clave de identidad de atestación válida emitida por el TPM autenticado.
- Compruebe que las características de seguridad están en los estados esperados.
El servicio de atestación devuelve un informe de atestación que contiene información sobre las características de seguridad basadas en la directiva configurada en el servicio de atestación.
A continuación, el dispositivo envía el informe a la nube de Microsoft Intune para evaluar la confiabilidad de la plataforma según las reglas de cumplimiento de dispositivos configuradas por el administrador.
El acceso condicional, junto con el estado de cumplimiento del dispositivo, decide permitir o denegar el acceso.
Otros recursos
Obtenga más información sobre las soluciones de Microsoft Confianza cero en el Centro de orientación de Confianza cero.