Asegurar Identidades

Las contraseas son, por decirlo suavemente, notoriamente ineficaces en la proteccin de

dispositivos y datos. Son robados con facilidad: en el cliente mediante el software de keylogging
o los intentos de phishing y en el servidor por infracciones de datos que dan a los intrusos acceso
a grandes conjuntos de nombres de usuario y contraseas. Y debido a que los seres humanos
frecuentemente reutilizan esas contraseas, una infraccin en un sitio puede provocar
intrusiones en otros sitios que usan las mismas credenciales.

Un atacante tambin puede robar un token de acceso de usuario de una mquina comprometida
y luego usar ese token para robar fichas adicionales. El atacante nunca tiene el nombre de
usuario o la contrasea, pero poseer un alijo de credenciales hash es lo suficientemente bueno
para permitir el acceso persistente en el tiempo. Esta tcnica se denomina un ataque "Pase el
Hash".

Windows 10 incluye importantes cambios arquitectnicos diseados para prevenir

fundamentalmente ambas formas de ataque.

Para empezar, a partir de Windows 10, las credenciales derivadas (hashes) que se usan en los
ataques "Pasar el hash" se transfieren al Modo seguro virtual, el mismo contenedor protegido
con Hyper-V que se utiliza para los servicios de integridad de cdigo de Windows.

Como parte de este cambio de arquitectura, Windows 10 implementa nuevos servicios llamados
Microsoft Passport, llevando la proteccin de identidad a un nuevo nivel. Esta caracterstica
sustituye a las contraseas por una autenticacin fuerte de dos factores que utiliza un
dispositivo registrado como un factor e informacin biomtrica (Windows Hello) o un PIN como
segundo factor. Los servicios asociados estn disponibles en todas las ediciones de Windows 10,
como se puede ver en la Figura 5-4, y estn habilitados segn sea necesario.

FIGURE 5-4 Estos dos servicios Microsoft Passport son clave para una revolucin en la identidad
que elimina la necesidad de la entrada regular de contraseas en dispositivos compatibles.
Aunque la seguridad multifactora est disponible para muchos dispositivos y servicios hoy en
da, se limita a soluciones como tarjetas inteligentes y aplicaciones de autenticacin en
dispositivos como smartphones. Windows 10 construye la autenticacin multifactor en el
sistema operativo y en el propio dispositivo, eliminando la necesidad de perifricos adicionales
de seguridad de hardware.

El paso crucial con Windows 10 es inscribir un dispositivo con una cuenta de Microsoft, una
cuenta de Active Directory, una cuenta de Microsoft Azure Active Directory (AD) o un servicio
que no sea de Microsoft que admita la autenticacin Fast IDentity Online (FIDO). (El estndar
FIDO es soportado por muchos bancos y proveedores de autenticacin existentes como RSA).
Una vez registrado, el propio dispositivo se convierte en uno de los factores necesarios para la
autenticacin. El segundo factor es un PIN (la opcin predeterminada) o, en sistemas con
soporte de hardware apropiado, autenticacin biomtrica, como reconocimiento de huella
dactilar, reconocimiento facial o una exploracin de iris.

Los lectores de huellas digitales existentes trabajan con las nuevas medidas de autenticacin.
Para el reconocimiento facial, se requiere un nuevo hardware que incluya capacidades de
infrarrojos (para propsitos de antispoofing). Microsoft Surface Pro 4, por ejemplo, incluye una
cmara integrada que es compatible con Windows Hello; Una cubierta de tipo con lector de
huellas dactilares integrado tambin est disponible como una opcin. Despus de la
configuracin inicial, puede configurar un Surface Pro 4 para que se desbloquee
automticamente cuando reconozca la cara del usuario registrado, como se muestra en la Figura
5-5.
FIGURE 5-5 La autenticacin biomtrica est integrada en Windows 10. En este Surface Pro 4,
se configuran tanto un lector de huellas dactilares como un reconocimiento facial, con la cmara
frontal configurada para desbloquear automticamente el dispositivo.

Windows 10 admite lectores de huellas dactilares existentes para la autenticacin. Windows 8.1
introdujo un proceso de extremo a extremo de todo el sistema para registrar las huellas
dactilares para la autenticacin. Esta experiencia tambin est disponible en Windows 10.
Despus de configurar pruebas biomtricas de identidad, estos mtodos estn disponibles para
iniciar sesin y para cualquier actividad que requiera autenticacin, como se muestra en la
Figura 5-6.

FIGURE 5-6 Cuando se configura la autenticacin biomtrica de Windows Hello, cualquier

actividad que requiera una contrasea se puede desbloquear mediante una huella dactilar o
un reconocimiento facial en un dispositivo registrado.

La lnea de fondo? Los atacantes que roban un cach de nombres de usuario y contraseas no
tienen suerte. Ellos necesitan el dispositivo fsico de un usuario, as como la capacidad de
transmitir la credencial del usuario, y ese segundo paso requiere acceso al PIN del usuario o
informacin biomtrica.

Esta caracterstica requiere que un dispositivo est equipado con un TPM; Al registrar el
dispositivo se crea un certificado que se almacena de forma segura en el TPM y permite que el
dispositivo se identifique de manera autoritaria a un servidor remoto. Un atacante que aprenda
su nombre de usuario y contrasea no podr hacerse pasar por usted y obtener acceso a ese
recurso porque no tendr la segunda parte crucial de ID: el dispositivo registrado. El proceso de
inscripcin no requiere que el dispositivo est unido al dominio, lo que hace que esta
caracterstica sea especialmente til en los escenarios Bring Your Own Own (BYOD).

La credencial en s puede ser un par de claves generado criptogrficamente (claves privadas y

pblicas) generadas por Windows, o en una configuracin de empresa, puede ser un certificado
provisto al dispositivo desde infraestructuras PKI existentes.

En configuracin de dominio, puede utilizar Directiva de grupo para implementar Microsoft

Passport en el lugar de trabajo. La configuracin de la directiva est disponible en Configuracin
del equipo> Polticas> Plantillas administrativas> Componentes de Windows> Microsoft
Passport for Work. Puede utilizar la configuracin disponible para habilitar o deshabilitar
Passport for Work con contraseas de dominio, permitir o prohibir dispositivos de seguridad de
hardware y autenticacin biomtrica y definir requisitos de complejidad de PIN.

Tambin puede habilitar Passport for Work con el software de administracin de dispositivos
mviles (MDM). Estas configuraciones de directiva de MDM utilizan el proveedor de servicios
de configuracin de PassportForWork (CSP); Una descripcin de este servicio est disponible en
http://bit.ly/PassportForWorkCSP.

Sus usuarios pueden registrar varios dispositivos con estas nuevas credenciales. Microsoft
Passport tambin permite que los dispositivos mviles de Windows 10 se utilicen como
credenciales remotas al iniciar sesin en PC con Windows 10.

Durante el proceso de inicio de sesin, el PC con Windows 10 puede conectarse mediante

Bluetooth para acceder a Microsoft Passport en el dispositivo Windows 10 Mobile del usuario,
que generalmente est en posesin del usuario. La combinacin de un dispositivo registrado y
un PIN o prueba biomtrica de identidad permite iniciar sesin en todas las PC, redes y servicios
web, local o remotamente. Y ninguno de esos dispositivos, redes o servicios requiere que una
contrasea sea almacenada o transmitida. Esto hace que sea imposible para un ladrn robar
credenciales usando tcnicas de phishing, keyloggers u otros ataques.

Bloqueo de malware

Resistir con xito ataques de malware y phishing comienza con algunas caractersticas de
seguridad fundamentales que han protegido el ncleo del sistema operativo durante varios
aos. Las dos primeras caractersticas estn diseadas para protegerse contra las explotaciones
que utilizan vulnerabilidades tales como saturaciones de bfer en el sistema operativo y en las
aplicaciones:

Aleatorizacin de diseo de espacio de direcciones (ASLR) Esta funcin aleatoriza cmo

y dnde se almacenan datos importantes en la memoria, por lo que es ms probable
que los ataques que intentan escribir directamente en la memoria del sistema fallen
porque el malware no puede encontrar la ubicacin especfica que necesita atacar .
Windows 8.1 y Windows 10 aumentan significativamente el nivel de entropa de
Windows 7, lo que dificulta la mayora de las explotaciones para tener xito. Adems,
ASLR es nico en todos los dispositivos, lo que hace ms difcil que una vulnerabilidad
que funcione en un dispositivo funcione tambin en otro.
Prevencin de ejecucin de datos (DEP) Esta caracterstica reduce sustancialmente el
rango de memoria que puede ejecutar el cdigo (incluido el cdigo malicioso). A partir
de Windows 8, el soporte de DEP basado en hardware es un requisito; Windows 10 no
se instalar en un dispositivo que carezca de esta caracterstica. DEP utiliza el bit Never
eXecute (NX) en las CPU soportadas para marcar bloques de memoria para que puedan
almacenar datos pero nunca ejecutar cdigo. Por lo tanto, incluso si los usuarios
malintencionados logran cargar cdigo malicioso en la memoria, no pueden ejecutarlo.

Windows Defender

En Windows 7, Windows Defender es el nombre de una solucin antispyware limitada.

Windows Defender es una solucin de seguridad con todas las funciones (y el sucesor de
Microsoft Security Essentials) capaz de detectar todo tipo de software malicioso. Dado que
admite la funcin ELAM, descrita anteriormente en este captulo, tambin evita que los
rootkits intenten infectar controladores de arranque de terceros. En Windows 10, Windows
Defender tambin incluye el monitoreo del comportamiento de la red.

Windows Defender est diseado para ser discreto, actualizarse automticamente y

proporcionar mensajes slo cuando sea necesario para hacerlo. Est destinado
principalmente para su uso en PCs no gestionadas. En la configuracin empresarial,
probablemente desee utilizar una solucin alternativa de antimalware. Microsoft System
Center Endpoint Protection, que utiliza el mismo motor que Windows Defender y tambin
incluye soporte para ELAM, est diseado para su uso con herramientas de gestin
empresarial. Tambin estn disponibles varias soluciones de terceros que cumplen los
mismos criterios.