Académique Documents
Professionnel Documents
Culture Documents
Un atacante tambin puede robar un token de acceso de usuario de una mquina comprometida
y luego usar ese token para robar fichas adicionales. El atacante nunca tiene el nombre de
usuario o la contrasea, pero poseer un alijo de credenciales hash es lo suficientemente bueno
para permitir el acceso persistente en el tiempo. Esta tcnica se denomina un ataque "Pase el
Hash".
Para empezar, a partir de Windows 10, las credenciales derivadas (hashes) que se usan en los
ataques "Pasar el hash" se transfieren al Modo seguro virtual, el mismo contenedor protegido
con Hyper-V que se utiliza para los servicios de integridad de cdigo de Windows.
Como parte de este cambio de arquitectura, Windows 10 implementa nuevos servicios llamados
Microsoft Passport, llevando la proteccin de identidad a un nuevo nivel. Esta caracterstica
sustituye a las contraseas por una autenticacin fuerte de dos factores que utiliza un
dispositivo registrado como un factor e informacin biomtrica (Windows Hello) o un PIN como
segundo factor. Los servicios asociados estn disponibles en todas las ediciones de Windows 10,
como se puede ver en la Figura 5-4, y estn habilitados segn sea necesario.
FIGURE 5-4 Estos dos servicios Microsoft Passport son clave para una revolucin en la identidad
que elimina la necesidad de la entrada regular de contraseas en dispositivos compatibles.
Aunque la seguridad multifactora est disponible para muchos dispositivos y servicios hoy en
da, se limita a soluciones como tarjetas inteligentes y aplicaciones de autenticacin en
dispositivos como smartphones. Windows 10 construye la autenticacin multifactor en el
sistema operativo y en el propio dispositivo, eliminando la necesidad de perifricos adicionales
de seguridad de hardware.
El paso crucial con Windows 10 es inscribir un dispositivo con una cuenta de Microsoft, una
cuenta de Active Directory, una cuenta de Microsoft Azure Active Directory (AD) o un servicio
que no sea de Microsoft que admita la autenticacin Fast IDentity Online (FIDO). (El estndar
FIDO es soportado por muchos bancos y proveedores de autenticacin existentes como RSA).
Una vez registrado, el propio dispositivo se convierte en uno de los factores necesarios para la
autenticacin. El segundo factor es un PIN (la opcin predeterminada) o, en sistemas con
soporte de hardware apropiado, autenticacin biomtrica, como reconocimiento de huella
dactilar, reconocimiento facial o una exploracin de iris.
Los lectores de huellas digitales existentes trabajan con las nuevas medidas de autenticacin.
Para el reconocimiento facial, se requiere un nuevo hardware que incluya capacidades de
infrarrojos (para propsitos de antispoofing). Microsoft Surface Pro 4, por ejemplo, incluye una
cmara integrada que es compatible con Windows Hello; Una cubierta de tipo con lector de
huellas dactilares integrado tambin est disponible como una opcin. Despus de la
configuracin inicial, puede configurar un Surface Pro 4 para que se desbloquee
automticamente cuando reconozca la cara del usuario registrado, como se muestra en la Figura
5-5.
FIGURE 5-5 La autenticacin biomtrica est integrada en Windows 10. En este Surface Pro 4,
se configuran tanto un lector de huellas dactilares como un reconocimiento facial, con la cmara
frontal configurada para desbloquear automticamente el dispositivo.
Windows 10 admite lectores de huellas dactilares existentes para la autenticacin. Windows 8.1
introdujo un proceso de extremo a extremo de todo el sistema para registrar las huellas
dactilares para la autenticacin. Esta experiencia tambin est disponible en Windows 10.
Despus de configurar pruebas biomtricas de identidad, estos mtodos estn disponibles para
iniciar sesin y para cualquier actividad que requiera autenticacin, como se muestra en la
Figura 5-6.
La lnea de fondo? Los atacantes que roban un cach de nombres de usuario y contraseas no
tienen suerte. Ellos necesitan el dispositivo fsico de un usuario, as como la capacidad de
transmitir la credencial del usuario, y ese segundo paso requiere acceso al PIN del usuario o
informacin biomtrica.
Esta caracterstica requiere que un dispositivo est equipado con un TPM; Al registrar el
dispositivo se crea un certificado que se almacena de forma segura en el TPM y permite que el
dispositivo se identifique de manera autoritaria a un servidor remoto. Un atacante que aprenda
su nombre de usuario y contrasea no podr hacerse pasar por usted y obtener acceso a ese
recurso porque no tendr la segunda parte crucial de ID: el dispositivo registrado. El proceso de
inscripcin no requiere que el dispositivo est unido al dominio, lo que hace que esta
caracterstica sea especialmente til en los escenarios Bring Your Own Own (BYOD).
Tambin puede habilitar Passport for Work con el software de administracin de dispositivos
mviles (MDM). Estas configuraciones de directiva de MDM utilizan el proveedor de servicios
de configuracin de PassportForWork (CSP); Una descripcin de este servicio est disponible en
http://bit.ly/PassportForWorkCSP.
Sus usuarios pueden registrar varios dispositivos con estas nuevas credenciales. Microsoft
Passport tambin permite que los dispositivos mviles de Windows 10 se utilicen como
credenciales remotas al iniciar sesin en PC con Windows 10.
Bloqueo de malware
Resistir con xito ataques de malware y phishing comienza con algunas caractersticas de
seguridad fundamentales que han protegido el ncleo del sistema operativo durante varios
aos. Las dos primeras caractersticas estn diseadas para protegerse contra las explotaciones
que utilizan vulnerabilidades tales como saturaciones de bfer en el sistema operativo y en las
aplicaciones:
Windows Defender