CAPÍTULO 3 : HARDWARE Y

VIRTUALIZACIÓN
MASTERING WINDOWS SECURITY AND HARDENING - SECOND EDITION
BRAYAN CUEVAS VOLQUEZ 202010378
INTRODUCCIÓN

A lo largo de este capítulo, proporcionaremos la información necesaria para garantizar que

conoce las mejores funciones de seguridad basadas en hardware para proteger su sistema
operativo Windows. A medida que lea este capítulo, aprenderá más sobre los siguientes temas:

• Servidores físicos y virtualización

• Introducción a la certificación de hardware
• La interfaz de firmware, el módulo de plataforma segura ( TPM ) y el arranque seguro
• Protección aislada con seguridad basada en virtualización ( VBS )
• Protección de datos de dispositivos perdidos o robados
• Recomendaciones y mejores prácticas de seguridad de hardware
REQUERIMIENTOS TÉCNICOS
Para la sección Servidores físicos y virtualización , necesitará un
sistema operativo Windows que se ejecute con el hardware compatible
que se detalla a continuación para configurar Hyper-V. También
necesitará acceso a una suscripción de Azure para configurar una
máquina virtual dentro de Azure.
Para el resto de este capítulo, cada sección tendrá los requisitos básicos
necesarios para activar funciones de seguridad específicas basadas en
hardware e incluirá enlaces para referencia adicional.
SERVIDORES FÍSICOS Y VIRTUALIZACIÓN
Hoy en día, es probable que su organización tenga hardware físico tanto para su centro de datos
como para los usuarios finales. En ambos escenarios, el sistema operativo Windows se ejecutará
sobre la capa de hardware físico. Esto agrega una capa adicional de preocupación en lo que
respecta a la seguridad. Dentro del dispositivo físico, su sistema operativo requiere interacción
con el hardware y sus datos interactuarán con componentes de hardware como la CPU y la
RAM.
Además de ejecutar un solo sistema operativo en un dispositivo físico, viene el concepto de
virtualización. virtualización, en su forma más simple, le permite tomar un servidor físico e
instalar múltiples máquinas virtuales y sistemas operativos aislados sobre el hardware físico
subyacente compartido. Esto permite una mayor eficiencia y cargas de trabajo con su hardware
y recursos actuales.
SERVIDORES FÍSICOS Y VIRTUALIZACIÓN
Afortunadamente, el avance de la virtualización del centro de datos estuvo disponible, y la capacidad de
implementar múltiples sistemas operativos en una sola pieza de hardware de servidor ha cambiado las reglas del
juego dentro de la empresa. En el siguiente diagrama, el hardware subyacente de la implementación del servidor
físico solo tiene un sistema operativo, mientras que la implementación virtualizada tiene muchos que comparten el
mismo host de hardware:
VIRTUALIZACIÓN DE MICROSOFT HYPER-V
Para implementaciones locales tradicionales, Microsoft tiene la tecnología Hyper-V, que es una plataforma de
virtualización basada en hipervisor. Al igual que con otras plataformas de nivel empresarial, Hyper-V le permite
administrar, implementar y ejecutar varias máquinas virtuales en una sola pieza de hardware, lo que permite un
mejor uso de sus recursos de hardware. Se necesitan requisitos para ejecutar máquinas virtuales en Hyper-V:
• Hipervisor de Windows
• El servicio de administración de máquinas virtuales de Hyper-V
• El proveedor de instrumentación de administración de Windows ( WMI ) de virtualización
• El bus de máquina virtual ( VMBus )
• Proveedor de servicios de virtualización ( VSP )
• Controlador de infraestructura virtual ( VID )
VIRTUALIZACIÓN DE MICROSOFT HYPER-V
Las siguientes herramientas puedenutilizarse para administrar el entorno Hyper-V:
• Administrador de Hyper-V
• Módulo Hyper-V para Windows PowerShell
• Conexión de VM (a veces llamada VMConnect)
• Windows PowerShell directo
• Administrador de máquinas virtuales de System Center ( VMM )
Hyper-V puede serse ejecuta tanto en Windows Server como en el escritorio de Windows, y las últimas versiones
son Windows Server 2022 y Windows 11. Hyper-V en Windows Server está diseñado para una implementación más
empresarial, lo que permite la migración de máquinas virtuales entre hosts y el acceso a la empresa.
MÁQUINAS VIRTUALES DE AZURE
Azure de Microsoft oferta de infraestructura ( IaaS ) como servicio
en la nube nos permite configurar y consumir Máquinas virtuales
bajo demanda sin necesidad de infraestructura subyacente por
parte del consumidor. Además del portal de administración de
máquinas virtuales, Azure Marketplace tiene imágenes
predefinidas proporcionadas por Microsoft disponibles para
implementar.
Otra opción disponible para la virtualización en Azure es Azure
Virtual Desktop ( AVD ). Esta oferta de plataforma como servicio (
PaaS ) de Microsoft proporciona virtualización de aplicaciones y
escritorios dentro de la nube de Azure.
PROBLEMAS DE SEGURIDAD DEL HARDWARE
Proteger el hardware de sus sistemas es una tarea La siguiente lista describe algunos riesgos
crítica y es posible que no haya estado al frente de con el hardware que deben abordarse:
sus prioridades de seguridad en el pasado. A lo largo
• Rootkits integrados en BIOS y UEFI
de los años, hemos invertido mucho en el lado del
software de la seguridad, pero recientemente, el • Ataques de canal lateral hacia las CPU
impacto de las vulnerabilidades del hardware ha • Exploits a nivel de kernel
demostrado la importancia de garantizar que su
hardware esté protegido contra vulnerabilidades, lo • Ataques de firmware
que requiere más atención en esta área para abordar • Vulnerabilidades de memoria
los riesgos.
PROBLEMAS DE SEGURIDAD DE LA VIRTUALIZACIÓN
Ahora que es común centralizar cientos y miles de Aquí están algunas riesgos de la virtualización que deben
cargas de trabajo independientes que requieren abordarse:
significativamente menos hardware como resultado • Todo lo enumerado en la sección Problemas de seguridad del
de la virtualización, es igualmente fundamental que hardware que acabamos de cubrir. Su infraestructura
nos aseguremos de que nuestra infraestructura virtualizada se ejecutará en el mismo hardware.
virtualizada esté protegida correctamente. Una • Amenazas de hipervisor.
violación de un host virtualizado podría significar • Escape de VM o la capacidad de interactuar con el sistema
un compromiso para cientos de servidores en un operativo host físico o el hipervisor directamente desde una
solo servidor físico en modelos anteriores. VM.
• No segregación de recursos, red y datos.
• Expansión de máquinas virtuales.
• Almacenamiento no cifrado, unidades físicas, archivos de
discos virtuales y tráfico de red.
CERTIFICACIÓN DE HARDWARE
Asegurando la certificación de su hardware es un proceso crítico del programa de seguridad general. A medida que
compra nuevos servidores, PC, almacenamiento y periféricos, es fundamental que valide que el hardware sea
compatible con sus sistemas implementados. El uso de hardware no compatible podría hacer que su hardware sea
vulnerable a un compromiso, o los componentes de hardware adicionales podrían incluso tener un compromiso ya
incorporado.
Los equipos de compras son un componente fundamental para validar que el hardware que compra haya pasado por
un proceso de certificación adecuado. Estos equipos ayudarán durante el proceso de la cadena de suministro para
garantizar que los proveedores cumplan con sus requisitos y que los contratos se mantengan según lo prometido, y
para mantener las relaciones con los proveedores.
LA INTERFAZ DE FIRMWARE, TPM Y ARRANQUE SEGURO
Una interfaz de firmware es típicamente un software de bajo nivel que actúa como el medio entre el
sistema operativo y el hardware para proporcionar una interfaz de usuario básica para configurar las
funciones del dispositivo y proporcionar instrucciones para el procedimiento de arranque. BIOS y UEFI
son las interfaces de firmware estándar utilizadas en estas operaciones. Al igual que con el sistema
operativo, el firmware también está en riesgo de vulnerabilidades y deberá actualizarse para permanecer
seguro.
PROTECCIÓN DEL BIOS
El BIOS es cargado directamente en una placa base de PC. Su propósito es inicializar el hardware
físico, pasar por una serie de procesos y eventualmente arrancar en Windows. Al igual que con el
sistema operativo o el software de PC, el BIOS de sus sistemas puede volverse obsoleto y vulnerable
a modificaciones no autorizadas. Además, el BIOS inicializa procesos de hardware privilegiados con
mayores derechos que el propio sistema operativo. Como resultado, los desarrolladores de malware
no solo se enfocan en el sistema operativo, sino también en otros mecanismos del proceso de inicio,
incluido el cargador de inicio y el hipervisor utilizados para la virtualización, para obtener acceso a
estos privilegios. Para mitigar estas vulnerabilidades, es importante contar con un sistema de
mecanismos de actualización autorizados para actualizar el BIOS y asegurarse de que solo esté
configurado y firmado por una fuente auténtica, como el fabricante del dispositivo.
ENTENDIENDO UEFI
UEFI es el sucesor del BIOS y ahora es estándar en la mayoría de los hardware. Tanto BIOS como UEFI tienen un
proceso de arranque similar con respecto al flujo de inicialización, pero con algunas diferencias. UEFI no se basa
en un sector de arranque para copiar un MBR y usa lo que se conoce como administrador de arranque para
determinar qué arrancar. El BIOS tradicional ejecuta código de 16 bits y aprovecha solo el MBR, que presenta
limitaciones como la compatibilidad con unidades de más de 2 terabytes ( TB ). UEFI utiliza la tabla de particiones
GUID ( GPT ) y admite procesos de código de 32 o 64 bits en un modo protegido antes de transferir el control al
sistema operativo durante los procesos de tiempo de ejecución ( RT ). El soporte de bit más alto tiene más espacio
que permite interfaces de usuario más amigables y tiempos de arranque más rápidos. UEFI incorpora tecnologías de
seguridad como el Arranque seguro y es compatible con los métodos BIOS tradicionales, como el arranque a través
de la red o desde una memoria flash.
ENTENDIENDO UEFI
Hay muchos tipos de características de seguridad integradas en la configuración de UEFI y variarán según el proveedor.
Algunos de los más comunes. Algunas características de seguridad que se encuentran en la configuración de UEFI se describen
aquí: Configuración del chip de seguridad para el TPM.
• Configuración de actualización de UEFI BIOS para agregar protección con respecto a las actualizaciones de BIOS, incluidas
las reversiones.
• Protección de memoria para la prevención de ejecución contra ataques de virus y gusanos que crean desbordamientos de
búfer de memoria.
• Configuración de virtualización para habilitar o deshabilitar la compatibilidad con hardware virtualizado, como Intel VT-x o
AMD-V.
• Acceso al puerto de E/S para habilitar o deshabilitar el uso de dispositivos como dispositivos inalámbricos, Bluetooth, USB,
cámaras y micrófonos.
• Detección de manipulación de acceso a dispositivos internos de las cubiertas físicas de los dispositivos de almacenamiento.
• Antirrobo para habilitar un lo-jack para su PC utilizando un proveedor externo.
• Configuración de arranque seguro.
ARRANQUE SEGURO UEFI
El arranque seguro es una función de seguridad basada en hardware disponible en el entorno UEFI que garantiza que solo el
software y el firmware confiables puedan ejecutarse en la cadena de arranque. Cada software, firmware de controlador y
cargador de arranque del sistema operativo (Administrador de arranque de Windows) tiene una firma digital o hash que se
valida haciendo referencia a claves de firma almacenadas en la base de datos de arranque seguro. El arranque seguro consta de
una clave de plataforma ( PK ) creada por el OEM que crea la confianza en la clave de intercambio de claves ( KEK ) con un
par de claves pública/privada.
El siguiente diagrama proporciona un ejemplo de arranque seguro que valida la firma del Administrador de arranque de
Windows:
TPK (TPM 2.0)
Un TPM proporciona seguridad basada en hardware, generalmente en forma de un chip resistente a la manipulación
integrado directamente en una placa base. Un TPM ayuda al proporcionar una capa de hardware adicional separada
de la memoria y el sistema operativo. Su objetivo principal es realizar funciones criptográficas de forma aislada y, a
menudo, se considera la raíz de confianza del hardware . Los TPM se ocupan principalmente del cifrado y
descifrado de las claves de seguridad y se ejecutan de forma pasiva, por lo que no dependen del sistema operativo
para procesar las instrucciones. Cada chip TPM tiene su propia clave privada Rivest-Shamir-Adleman ( RSA )
única que está impresa directamente en el propio chip. Esta clave privada nunca se expone a otro proceso externo,
por lo tanto, solo permite que el mismo chip TPM maneje el descifrado de las claves cifradas con TPM.
TPK (TPM 2.0)
Las computadoras con Windows que contienen un TPM brindan funciones de seguridad de hardware mejoradas que se
pueden usara través de una variedad de funciones, como las siguientes:
• Cifrado, descifrado y otras funciones criptográficas
• Almacenamiento y generación de claves
• Validación de integridad (seguridad como arranque seguro para firmware y cargadores de arranque)
• Fuertes tecnologías de autenticación de usuarios y dispositivos (Windows Hello y tarjetas inteligentes virtuales ( VSC ))
• Mediciones de arranque antimalware para verificaciones de integridad del estado de inicio
• Funciones de seguridad basadas en virtualización, como Windows Device Guard y Credential Guard
• Cifrado de unidad BitLocker
• Servicios de atestación de salud para atestación local y remota
PROTECCIÓN AISLADA CON VBS
Disponible por primera vez en Windows 10 y Windows
Server 2016, VBS no era un requisito, pero sí muy
recomendable. En Windows 11 Enterprise, muchas
características disponibles de VBS se habilitarán de
forma predeterminada en el hardware compatible y se
puede administrar con directivas de grupo o MDM.
VBS aprovecha la virtualización de hardware y el
hipervisor de Windows para aislar la memoria del
sistema operativo. Esta separación se conoce como
modo seguro virtual, que brinda protección para los
procesos críticos del sistema para ayudar a prevenir la
explotación. Por ejemplo, si el malware infecta el
sistema operativo, permanecerá contenido en el
sistema operativo y VSM no podrá acceder a él.
PROTECCIÓN AISLADA CON VBS
Para un sistema para ser considerado compatible con VBS, debe cumplir con los siguientes requisitos mínimos de
hardware:
TPM 2.0
Procesador de 64 bits que ejecuta extensiones de virtualización Intel VT-x o AMD-v
IOMMU o unidad de administración de memoria del sistema ( SMMU ) (Intel VT-D, AMD-Vi, ARM64 SMMU) IOMMU
SLAT para traducción de direcciones virtuales ( IVA )
Informes de memoria UEFI
Controladores compatibles con integridad de código protegido por hipervisor ( HVCI )
Solicitud de sobreescritura de memoria segura ( MOR ) v2
Protección del modo de gestión del sistema ( SMM )
HVCI
HVCI combina la virtualización y la verificación de la integridad del código para proteger el sistema operativo
Windows de códigos maliciosos. HVCI es el componente clave de la funcionalidad de integridad de la memoria de
las funciones de seguridad de aislamiento del núcleo en la seguridad del sistema de Windows. Esto ayuda a
garantizar que el servicio de integridad de código utilizado para validar las firmas de los controladores y los
procesos en modo kernel estén contenidos con aislamiento de hipervisor, lo que los protege contra la manipulación.
HVCI no solo es aplicable a un solo sistema que se ejecuta en hardware físico, sino que también puede proteger
máquinas virtuales Gen 2 con un host Hyper-V en Server 2016 o posterior.
HVCI también se puede combinar con el código de Control de aplicaciones de Windows Defender ( WDAC )
políticas de integridad, diseñadas para incluir en la lista blanca qué aplicaciones, controladores y rutas de archivos
se pueden ejecutar en Windows.
HABILITACIÓN DE HVCI
Habilite HVCI, siga estos pasos:
• Abra GPMC y cree un nuevo objeto de directiva de grupo ( GPO ) o modifique uno existente.
• Ir a Configuración del equipo | Políticas | Plantillas Administrativas | Sistema | Guardia del dispositivo .
• Abra Activar seguridad basada en virtualización y elija Habilitado (botón de opción).
• Asegúrese de que el menú desplegable en Protección basada en virtualización de la integridad del código esté
configurado como Habilitado con o sin un bloqueo UEFI.
PROTECCIÓN DE APLICACIONES DE MICROSOFT
DEFENDER
Protección de aplicaciones de Microsoft Defender es diseñado para aprovechar el aislamiento del hipervisor VSM
de VBS para proteger Microsoft Office y Edge a través de contenedores. Lo bueno de esta protección es que ayuda
a proteger contra nuevos tipos de ataques debido a la naturaleza del aislamiento de la aplicación del sistema
operativo host. Microsoft Office y Edge son objetivos constantes para los desarrolladores de malware debido a su
amplio uso. Application Guard tiene soporte integrado para Microsoft Office y el navegador Edge, pero también
extiende estas funciones a Google Chrome y Firefox a través de extensiones de navegador. Esto permite que los
sitios no confiables que se abren en Chrome o Firefox sean redirigidos a una sesión de navegación Edge protegida.
PROTECCIÓN DEL SISTEMA DE WINDOWS DEFENDER
Protección del sistema de Windows Defender es una colección de funciones de protección de hardware (incluido el
Arranque seguro) que garantizan que la integridad de su sistema esté protegida durante el arranque, así como
después de que Windows se esté ejecutando. Uso de atestación local a través de mediciones de Root of Trust
Management ( RTM ) y atestación remota, mediciones de RTM se puede enviar para su análisis a una solución
MDM como Intune o Configuration Manager. Si se determina que una PC no es confiable , se pueden tomar
medidas remotas para aislar el dispositivo o evitar el acceso a los recursos. Esto ayuda a proteger el sistema después
del arranque mediante el análisis y la supervisión de estas medidas. System Guard, por diseño, está alineado con el
modelo de seguridad Zero Trust y asume que todos los procesos podrían verse comprometidos hasta que se
verifiquen.
PROTECCIÓN DMA DEL NÚCLEO
Protección DMA del núcleo ayuda a proteger la PC de dispositivos externos que se pueden conectar a puertos
expuestos de conexión en caliente Peripheral Component Interconnect Express ( PCIe ) como una conexión
Thunderbolt. Puertos de conexión en caliente PCI son compatibles con el acceso directo a la memoria ( DMA ), lo
que los convierte en un objetivo vulnerable para los atacantes debido a su acceso privilegiado en el sistema. Un
actor malintencionado puede insertar rápidamente un USB, como un periférico, en un dispositivo desatendido y
ejecutar código o robar datos sin ninguna interacción o sin tener que iniciar sesión en la computadora. Un
dispositivo compatible con DMA tiene acceso directo a la memoria del sistema por diseño para permitirle admitir
periféricos de alta potencia como tarjetas gráficas.
PROTECCIÓN DE DATOS DE DISPOSITIVOS PERDIDOS O
ROBADOS
Desafortunadamente, los dispositivos físicos, como las computadoras portátiles, pueden perderse o ser robados.
Ciertas protecciones debe estar en su lugar para ayudar a proteger los datos en el sistema de ser filtrados,
asumiendo que el dispositivo no se recuperará. Afortunadamente, para los dispositivos bajo administración
corporativa, las acciones remotas de MDM se pueden activar para borrar un dispositivo la próxima vez que se
conecte. Además, el cifrado de BitLocker evitará la pérdida de datos del disco duro, pero ¿qué tipos de protecciones
están disponibles para datos como credenciales o claves de cifrado almacenadas en la memoria? Recientemente,
tanto Intel como AMD han realizado importantes avances en la seguridad del hardware para cubrir este tipo de
escenarios y proteger los datos almacenados en la memoria con cifrado.
PROTECCIÓN DE DATOS DE DISPOSITIVOS PERDIDOS O
ROBADOS

Cifrado de memoria segura (AMD) Cifrado de memoria total (Intel TME)

Cifrado de memoria segura ( SME ) es una característica Total Memory Encryption (Intel TME) es una función
específica a los sistemas basados ​en AMD. Las páginas en la
memoria se cifran a través de tablas de páginas utilizando
similar a SME desarrollada por Intel. Al igual que con
una clave estándar de cifrado avanzado ( AES ) efímera de SME, Intel TME cifra la memoria mediante AES XTS
128 bits que se genera aleatoriamente durante el arranque y con una clave de cifrado generada aleatoriamente a la
no es accesible por software externo. Además, AMD amplía que no puede acceder el software. Intel ha ampliado
esta protección a las máquinas virtuales con virtualización
cifrada segura ( SEV ), que permite que las máquinas
recientemente esta tecnología para agregar
virtuales se ejecuta completamente encriptado y solo puede compatibilidad con varias claves de cifrado
ser descifrado por la propia máquina virtual subyacente. denominadas cifrado de memoria total de múltiples
SME se puede habilitar en el BIOS de los sistemas AMD. claves (MKTME).