Microsoft lanza los estándares para dispositivos Windows 10 de alta seguridad

Ayer, Microsoft lanzó nuevos estándares que los consumidores deben seguir para tener un dispositivo altamente seguro con Windows 10. Estos estándares incluyen el tipo de hardware que debe incluirse en el sistema y las características del firmware.

Estándares de hardware

Los estándares de hardware se dividen en 6 categorías, que son generación de procesadores, arquitectura de procesadores, virtualización, módulos de plataforma de confianza (TPM), verificación de arranque de plataforma y RAM.

Para la generación de procesadores , Microsoft recomienda que los usuarios utilicen procesadores Intel & AMD 7th Generation . Al cuestionar estos requisitos, el equipo de seguridad ofensiva de Windows y Windows Device Security managerDave Westonstate que las CPUs de séptima generación contenían control de ejecución basado en modo (MBEC), que proporciona más seguridad del núcleo.

El requisito de la arquitectura de procesador es tener un procesador de 64 bits para que Windows pueda aprovechar la seguridad basada en VBS o virtualización, que utiliza el hipervisor de Windows. El hipervisor sólo es compatible con los procesadores de 64 bits.

La virtualización , como se mencionó anteriormente, es un componente importante del marco de seguridad de Windows. Los dispositivos Windows 10 altamente protegidos deben admitir SMMU Intel VT-d, AMD-Vi o ARM64 para aprovechar la virtualización de dispositivos de la unidad de administración de memoria de entrada y salida (IOMMU). Para utilizar la Traducción de direcciones de segunda capa, o SLAT, los procesadores deben admitir Intel Vt-x con tablas de páginas extendidas (EPT) o AMD-v con indexación rápida de virtualización (RVI) .

Otro componente recomendado es un Trusted Platform Module , o TPM – un módulo de hardware que está integrado en un chipset de ordenador o puede adquirirse como un módulo separado para las placas base soportadas que se encarga de la generación segura de claves criptográficas, su almacenamiento, un generador de números aleatorios seguros y la autenticación de hardware. Un buen artículo sobre TPM y su importancia para Windows 10 se puede encontrar aquí.

Además, Microsoft recomienda la verificación de arranque de la plataforma , que es una característica que impide que el equipo cargue un firmware que no fue diseñado por el fabricante del sistema. Esto evita que los atacantes carguen un firmware malicioso o comprometido en el equipo. Puede utilizar Intel Boot Guard en modo de arranque verificado o AMD Hardware Verified Boot para conseguirlo.

Por último, tenemos memoria , que se recomienda que sea como mínimo de 8GB. No estoy seguro de por qué se trata de un requisito de seguridad, y no sólo de un requisito de rendimiento para Windows.

Estándares de firmware

También se espera que el firmware de un ordenador cumpla ciertos requisitos para ser un ordenador de alta seguridad. Estos requisitos son:

  • Los sistemas deben tener firmware que implemente la versión 2.4 o posterior de UnifiedExtensible Firmware Interface (UEFI).
  • Los sistemas deben tener firmware que implemente UEFI Clase 2 o UEFI Clase 3.
  • Todos los controladores enviados a la bandeja de entrada deben ser compatibles con la integridad de código basada en hipervisor (HVCI).
  • El firmware del sistema debe soportar UEFI Secure Boot y debe tener UEFI Secure Boot activado por defecto.
  • El firmware del sistema debe implementar Secure MOR revisión 2.
  • Los sistemas deben ser compatibles con la especificación Windows UEFI Firmware Capsule Update.

Cumplir con estos estándares no es tan caro

Después de ver los requisitos anteriores, es posible que piense que un equipo que cumple con estos estándares sería costoso. Sorprendentemente, no es tan malo como esperaba. Por ejemplo, esta serie P de ASUS P2540UA-AB51 parece cumplir todos los requisitos enumerados anteriormente y lo hace por 499 USD. Estoy seguro de que si busco con más ahínco, podría encontrar máquinas aún más baratas.

Desafortunadamente, muchas computadoras de consumo no cumplirían al 100% con los requisitos anteriores, simplemente porque muchas no incluyen un módulo TPM. Para resolver esto, los consumidores tienen dos opciones cuando se trata de un TPM.

Pueden comprar un sistema con un procesador AMD Ryzen, que incluye una implementación de TPM basada en firmware llamada fTPM. Esto debe estar habilitado en el BIOS, sin embargo, para que funcione. Desafortunadamente, algunos artículos indican que una solución basada en firmware no es tan segura como un TPM independiente o discreto.

Si no estás usando un procesador AMD Ryzen y eliges usar Intel, entonces necesitarás comprar un sistema cuya placa madre contenga un zócalo TPM. A continuación, puede comprar un TPM discreto e insertarlo en el zócalo para añadir esta función al ordenador.

Actualizado 11/7/17: Actualizado para incluir más información sobre Trusted Platform Modules (TPM) y corregir una palabra incorrecta.

Contenido relacionado

Categorías Windows

Deja un comentario