Construyendo un ecosistema de PC robusto y seguro

Es posible que haya escuchado el término "prevención es mejor que cura", que se atribuye principalmente al filósofo holandés Erasmus alrededor del año 1500. A lo largo de los años, la frase ha sido ampliamente adoptada por la atención médica, pero también tiene importancia cuando se trata de Windows 11 Solución de problemas ... escúchame en este caso.
Cuando ocurren problemas con las PC, generalmente tiene dos opciones, para reimrar la PC o tratar de encontrar y arreglar cualquiera que sea la causa. Si elige la opción anterior, entonces obtendrá una solución inicial rápida, tal vez solo 20 minutos reimando la PC, pero tendrá un período mucho más largo de cualquiera de los dos, dependiendo de la ruta de reimera que tome, descargando una tonelada de una tonelada de una tonelada de Actualizaciones de Windows y aplicaciones o reinstalando todas sus aplicaciones y software desde cero.
Si baja por la ruta de solución de problemas, lo que, por supuesto, es con lo que existe este libro para ayudarlo, entonces el período de solución inicial será más largo, pero el proceso general de recuperar el servicio completo debe ser menor que la ruta de reimera. No hay garantías con esto dependiendo del tipo de problema que se enfrente, ya que podría ser un verdadero rasguño de la cabeza, pero está preparado para un desafío, ¿verdad?
Donde la prevención es mejor que la cura entra en juego es tratar de mitigar los problemas para empezar y asegurarse de que nada salga mal con la PC en la primera instancia para que no necesite solucionar problemas en absoluto. Por supuesto, este es el anoxymoron, ya que la naturaleza misma de las PC con sus combinaciones cercanas de InstalledSoftware, Hardware, Periféricos y Conexiones significa que nunca puede mitigar completamente cada problema que ocurra, y francamente sería una locura suponer que puede.
Sin embargo, configurar sus PC de manera robusta siempre es una buena práctica, y sería negligente de mi parte no discutir cómo evitar los problemas en primera instancia como parte de un libro de solución de problemas.

Comprensión del sistema de restauración del sistema

En los primeros días de mi vida como autor, me adjunté a un libro sobre Windows 8 que poco después me arrancé. Hubo problemas aquí desde el principio, en gran parte porque el libro debía escribirse con una "voz" específica que se usaba en la serie a la que tenía dificultades para conformarme (podría haber adivinado que me gusta salir en tangentes y resbalando chistes, citas y anécdotas como esta siempre que puedo).
Sin embargo, el otro problema para mí era el coautor que me asignaron. Este autor insistió en que el libro comenzar con una sección llamada "Seguridad primero con la restauración del sistema". Esto se quedó en mi mente después cuando comenzó un argumento impío.
En esencia, mi coautor tenía razón; Asegurarse de que la restauración del sistema funcionara en una PC es una gran idea. Sin embargo, donde creía que estaban equivocados era que (a) el libro no se trataba de solucionar problemas, sino ser una guía para principiantes, y (b) que querían que le dijeramos al lector que lo primero que deberían hacer era crear una El punto de restauración del sistema al que podrían volver si alguna vez encontraron un problema.
La restauración del sistema fue, por supuesto, (ya que se desliza suavemente en otra anécdota) introdujo por primera vez con Windows ME, que se lanzó en el otoño de 2000. Se ridiculizó ampliamente en los días previos a Windows Vista como un lugar donde los virus y el malware irían a esconderse, Listo para saltar nuevamente en el momento en que se restauró el sistema, que en los días de Windows me fue francamente mucho.
Windows Vista fue, por supuesto, el sistema operativo que introdujo el Control de la cuenta de usuario (UAC), que fue terriblemente intrusivo en su primera apariencia, pero que bloqueó con éxito el malware de hacer cambios en una PC que podría afectar cualquier otra cosa que no sea la experiencia de escritorio del usuario actualmente inicio de sesión. . Hasta este punto, lo primero que hice en cualquier PC fue desactivar el sistema, pero con Vista y UAC, por fin se volvió útil.
Entonces, ¿a dónde nos lleva esto con el argumento sobre el libro de Windows 8 y por qué importa? Lo que el sistema Restaure hace es que crea una instantánea de archivos de sistema críticos, como el registro y las partes del núcleo de Windows, cada vez que se realiza un cambio que podría hacer que la PC se vuelva inestable. Esto incluye la instalación de una nueva pieza de software Win32 Desktop (no entra en acción con aplicaciones de Microsoft Store) o cuando se instala una actualización de Windows.
System Restore reserva un pequeño porcentaje del disco, generalmente entre el 2% y el 5% en el que mantiene sus copias de seguridad. Esto significa que si se produce mucha actividad en una PC, como descargar muchas actualizaciones e instalar una gran cantidad de software, se eliminan los puntos de restauración previamente capturados para hacer espacio para uno nuevo. La instalación de software
y la descarga de actualizaciones son, por supuesto, cosas que suceden bastante con un nuevo
PC, y creo que puedes adivinar por qué me agité tanto por lo inútil que hubiera
Estuve en decirle al propietario de una nueva y brillante PC con Windows 8 que cree primero un punto de restauración.

Configuración de la restauración del sistema

Sin embargo, siempre debe tener la restauración del sistema activada en una PC, y puede ser bastante común con las instalaciones de Windows 11 para descubrir que no se activa de manera predeterminada. Puede encontrar la restauración del sistema más fácilmente buscando en el menú Inicio y haciendo clic en Crear un punto de restauración cuando aparece en los resultados de búsqueda. También puede encontrarlo en configuración en el sistema ➤ Acerca y etiquetada como protección del sistema en la sección de enlaces relacionados.

Consejo: La restauración del sistema se puede ejecutar desde el símbolo del sistema o desde una ventana de PowerShell utilizando el comando SystemPropertiesProtection y presionando Enter.

Con el panel de protección del sistema abierto en su escritorio, podrá ver si la restauración del sistema está configurada para cada unidad o partición que tenga en su PC. Haga clic en el botón Configurar para establecer y cambiar sus opciones (consulte la Figura 3-1).

Figura 3-1. La restauración del sistema es fácil de configurar

Las opciones deben cambiarse individualmente para cada disco o partición e incluir la restauración o desactivación del sistema de activación para ese disco y asignar cuánto espacio en ese disco se asigna a la función. La razón por la que puede configurar la restauración del sistema para discos que no sean aquel en el que Windows está instalado se regresa a una función de versiones de archivo que estaba disponible para los administradores de servidores de archivos de Windows en los días previos a la computación en la nube era algo, y que luego se conectó directamente directamente en Windows con el documento del historial de archivos y la función de copia de seguridad de archivos; Las cosas que en los días de Azure, Onedrive y la banda ancha súper rápida ahora parecen increíblemente pintorescos. Basta decir que el sistema restauración en otra cosa que no sea su unidad de Windows no sirve para ningún propósito en estos días y no vale la pena activar.

Configuración de la restauración del sistema usando scripting

También puede configurar la restauración del sistema usando Power-Shell. Abra el terminal de Windows y use los siguientes comandos: Habilitar-ComputerRestore para habilitar la restauración del sistema para una unidad con los siguientes interruptores.
-Drive para especificar la unidad para activar el restaurante del sistema en, por ejemplo, habilitar -computereReRe -drive "c: \"
-Confirm para forzar la solicitud de confirmación antes de implementar el cambio
-Asifa mostrar qué pasaría si el cmdlet se ejecuta
Además, puede desactivar la restauración del sistema para una unidad con el comando DisableComputerRestore. También puede usar Get-CompuTerReStorePoint para enumerar los puntos de restauración disponibles que se pueden restaurar y controlador de control para crear manualmente un nuevo punto de restauración.
Si necesita restaurar una copia de seguridad anterior, use la computadora de restauración con el switch -restorePoint donde el entero corresponde al número de secuencia del punto de restauración que necesita y eso se mostró utilizando el
Comando Get-ComputerRestorePoint.

Restauración del sistema Restaurar copias de seguridad

Hay varias formas de restaurar su instalación de Windows 11 a un punto anterior utilizando la restauración del sistema, la primera de las cuales usa potencia y eso detallé en la sección anterior. Desde el escritorio, busque en el menú Inicio para la restauración del sistema y haga clic en Crear un punto de restauración cuando aparezca en los resultados de la búsqueda.
Esto mostrará el cuadro de diálogo que vimos anteriormente, y puede hacer clic en el botón de restauración del sistema para iniciar la operación de restauración del sistema.
Si la PC no puede comenzar al escritorio, puede ejecutar la restauración del sistema desde la consola de recuperación. Haga clic en Solución de problemas y luego opciones avanzadas, y verá una opción de restauración del sistema que se muestra que funcionará tal como lo hace en el escritorio.

Consejo: La restauración del sistema se puede ejecutar desde el símbolo del sistema o desde una ventana de caparazón de alimentación escribiendo RSTRUI y presionando Enter.

Se le ofrecerá una restauración recomendada que generalmente será el punto de restauración más reciente, pero también verá una opción para elegir un punto de restauración diferente (consulte la Figura 3-2).

Figura 3-2. El punto de restauración más reciente se mostrará como se recomienda

Cuando ve la lista de puntos de restauración disponibles, es posible que se sorprenda si solo hay uno o dos disponibles (ver Figura 3-3). Esto se debe a que Windows 11 es, molesto, tratar de ser útil al darle lo más reciente y lo que cree que son los puntos más relevantes. Sin embargo, puede encontrar que el problema está siendo causado por un software que se instaló unos días o incluso una semana más o menos antes. Para mostrar todos los puntos de restauración disponibles, marque la casilla Show más puntos de restauración.

Figura 3-3. No se mostrarán todos los puntos de restauración disponibles

Ahora verá una lista de todos los puntos de restauración disponibles. Muchos se eliminan cuando el espacio disponible para ellos está lleno y necesita ser reutilizado. Si no hay mucha actividad general en su PC con actualizaciones e instalaciones de software, puede encontrar, como se ve en la Figura 3-4, que los puntos de restauración disponibles pueden retroceder útilmente unos meses.

Figura 3-4. Puede mostrar todos los puntos de restauración disponibles

Verifique el punto de restauración que le interesa usar, y luego puede hacer clic en el botón Escanear para programas afectados. Hacerlo presentará una lista de todos los programas y controladores WIN32 instalados en su PC que se han instalado o actualizado desde que se capturó ese punto de restauración (ver Figura 3-5).

Figura 3-5. Puede verificar qué programas se verán afectados

Tenga en cuenta aquí que las aplicaciones instaladas en la tienda de Microsoft o en una tienda de terceros no se incluirán en esta lista. Sin embargo, lo que se incluye útilmente es el número de versión del programa o controlador. Esto puede ser especialmente útil si está solucionando una actualización de Windows y desea volver a colocar un controlador específico a un punto antes de que una actualización de ese controlador fuera inestable.
Con el punto de restauración correcto seleccionado, haga clic en el botón Siguiente para volver a rodar el sistema a ese punto. La PC deberá reiniciar para completar este proceso.

La unidad de recuperación USB

Uno de los mayores problemas que pueden ocurrir con una PC es no poder arrancar en el escritorio. Además, en los peores escenarios, también puede tener problemas para acceder a la consola de recuperación. Esto se debe principalmente a que Windows 11 botas muy rápido; El tiempo que tiene disponible para presionar la tecla F8 para acceder al menú Opciones de arranque, o Del o F2 para acceder al firmware de UEFI, es increíblemente pequeño.
Por esta razón, siempre le recomiendo que tenga a mano una unidad de recuperación USB. Esto no solo le permitirá iniciar la consola de recuperación y acceder al firmware de la UEFI más fácilmente (a pesar de los problemas adicionales, lo que detallaré más adelante), pero también es mucho más simple y sencillo de manejar, como lo fue en versiones anteriores. de Windows.
Mencioné que a veces su PC no está configurada para arrancar desde una unidad USB. Esto se puede configurar en el firmware de UEFI en la sección de arranque. Mostrará la prioridad de arranque para diferentes unidades y dispositivos conectados a la PC (ver Figura 3-6). Esto puede comenzar con su Administrador de botas de Windows o un disco específico en la PC.

Figura 3-6. Puede configurar la prioridad de arranque en el firmware de la UEFI

Sin embargo, puede cambiar esta prioridad de arranque para que antes del Administrador de arranque de Windows sea una opción de unidad flash USB (consulte la Figura 3-7). Esto significa que si alguna vez encuentra un problema y la PC no arrancará en el escritorio, puede iniciarlo fácilmente en una unidad de recuperación USB.

Figura 3-7. Puede elegir cuáles son los dispositivos de arranque de primera, segunda y tercera opción

Unidades USB y botas rápidas

Una de las características de las placas base modernas de UEFI se llama arranque rápido, ver Figura 3-8. Este es un sistema que permite que su PC comience mucho más rápido de lo que normalmente inicializaría todo su hardware al mismo tiempo, en lugar de un dispositivo a la vez en la forma en que lo hacían los sistemas BIOS más antiguos.

Figura 3-8. Deshabilitar el arranque rápido a veces puede ser sabio

Para que el arranque rápido funcione, necesita una tarjeta gráfica que admita el GOP UEFI (protocolo de salida de gráficos). Sin embargo, una de las desventajas del arranque rápido es que deshabilita la capacidad de arrancar la PC desde una unidad USB. En mis propias PC, deshabilito el arranque rápido ya que, seamos sinceros, se arrancan lo suficientemente rápido en estos días de todos modos, y es posible que desee deshabilitar la función de arranque rápido, que se puede hacer desde las opciones de arranque si tiene una placa base que admite él.

Creación de una unidad de recuperación USB

Crear una unidad de recuperación USB en Windows 11 es sencillo y toma solo unos minutos. También es considerablemente menos complicado que con las versiones anteriores de Windows, como mencioné anteriormente. La razón de esto es que los sistemas de arranque de Windows 8, en el que apareció la función por primera vez, y las versiones anteriores de Windows 10, tenían que admitir placas base solo de BIOS y ediciones de Windows de 32 bits.
Esto significaba que la unidad de recuperación creada solo funcionaría en esa especificación, e intentar usar una unidad de recuperación de 64 bits en una instalación de Windows de 32 bits, o una unidad de recuperación de BIOS en un sistema UEFI, o al revés, lo haría. dar como resultado una PC que no comenzaría. Afortunadamente, Microsoft dejó de producir versiones de 32 bits de Windows 10 en mayo de 2020, y Windows 11 no se instalará en placas base de BIOS más antiguas debido a su requisito de soporte de cifrado TPM 2.0.
Para crear una unidad de recuperación USB, busque en el menú de inicio para la recuperación y haga clic en la unidad de recuperación cuando aparezca en los resultados de búsqueda. El proceso es simple: enchufe una unidad flash USB (que se formateará, así que asegúrese de no necesitar nada en él) de al menos 512 MB de tamaño y haga clic en el botón siguiente (consulte la Figura 3-9).

Figura 3-9. Es muy fácil crear una unidad de recuperación USB en Windows 11

Verá una opción para hacer una copia de seguridad de los archivos del sistema a la unidad de recuperación. Esto creará una copia de la imagen de reinicio de Windows, que es una característica que veremos en el Capítulo 22. Para que esta imagen de copia de seguridad se copie en la unidad, necesitará una unidad flash USB mucho más grande, al menos 4 GB en un mínimo.
Sin embargo, la razón por la que es posible que no desee crear esta imagen es que saldrá muy rápidamente. De la misma manera, una copia de seguridad de la imagen del sistema, que también detallaré en el Capítulo 22, datará rápidamente debido a que las actualizaciones y los paquetes de características se instalan en su PC. Puede encontrar que para cuando necesite reinstalar esta imagen, tiene dos o más años.

Copia de seguridad y restauración de archivos

Quiero poner una nota sobre la copia de seguridad de archivos y restaurar en Windows 11, ya que todavía está allí, pero por cuánto tiempo es una suposición de nadie. Hay dos funciones de copia de seguridad de archivos disponibles, ambas en el panel de control, copia de seguridad y restauración (Windows 7) e historial de archivos (ver Figura 3-10).

Figura 3-10. Es probable que se eliminarán las funciones de copia de seguridad del archivo de Windows 11

Microsoft quiere empujar a las personas a usar su servicio de copia de seguridad y sincronización de archivos OneDrive en Windows 11, por lo que lo molestará para usarlo si no está configurado. Como resultado, ambas características anteriores se han desapercido durante un tiempo y son candidatos principales para la eliminación en una actualización futura del sistema operativo.
Por lo tanto, no vale la pena mostrarle cómo usarlos, ya que creo que sería imprudente alentarlo a usar un sistema de respaldo que luego pueda descubrir que no puede recuperar sus archivos.
OneDrive se puede configurar para usar una cuenta personal y de negocio simultáneamente. No hay necesidad en un libro de solución de problemas para mostrarle cómo configurarlos.

Política grupal

Si usa Windows 11 en un entorno laboral, entonces sería imprudente no establecer una política de grupo para sus usuarios. Si no está al tanto, la política de grupo le permite establecer los permisos de aprobación o negar los permisos y las opciones de configuración específicas para cada aspecto de la experiencia del usuario de Windows, desde el acceso a Windows Update e Installing Winters para cambiar el papel tapiz de escritorio predeterminado y negar las operaciones de escritura y copia desde Medios externos, como unidades flash USB.
La forma más fácil de acceder a la política de grupo es escribiendo GPEDIT en el menú Inicio y haciendo clic en Editar política de grupo cuando aparece en los resultados de búsqueda. La ventana del editor de políticas del grupo principal es la tarifa estándar de la consola de administración de Microsoft (MMC) y es poco probable que cambie durante la vida de Windows 11 (ver Figura 3-11).Figura 3-11. El editor de políticas grupales en Windows 11

Las políticas se dividen en dos áreas separadas. La configuración de la computadora establecerá políticas que se aplican a cada usuario en la PC, y la configuración del usuario especifica políticas que solo se aplican al usuario iniciado actualmente. En la parte inferior de las ventanas hay pestañas extendidas y estándar. La vista extendida mostrará un panel que contiene una descripción detallada de la política actualmente seleccionada para ayudarlo a establecer políticas que sean correctas y apropiadas para el usuario y la PC.
Si bien, como he dicho, existen opciones de políticas grupales para cada aspecto de la PC y la experiencia del usuario, hay algunos que son particularmente útiles cuando se trata de construir un sistema resistente, y para solucionar problemas de PC, y para esto quiero Dé un agradecimiento a la comunidad MVP de Microsoft por enviar sus principales sugerencias de políticas de grupo.

Mostrar mensajes de estado detallados

Si es un antiguo de Windows como yo, entonces puede recordar que cuando el sistema operativo comenzó y apagó, vería información técnica sobre lo que estaba haciendo en ese momento, como iniciar servicios, cargar el perfil de usuario, etcétera.
Estos mensajes pueden ser útiles si necesita solucionar problemas con un problema con el inicio, el cierre o con la carga de un perfil de usuario y, dado que no ralentizan el sistema durante esas operaciones, y probablemente será ignorado por el usuario final de todos modos, de todos modos, puede que pueda Reactívalos en Windows 11.
Plantillas administrativas ➤ Sistema ➤ Mostrar mensajes de estado altamente detallados es la política que necesita activar para habilitar esta función, y comenzará a mostrarlos después del próximo reinicio de la PC.

Ocultar elementos de panel de control específicos

Esta es una opción de política grupal bastante bien utilizada para las corporaciones y se puede utilizar para ocultar todos los applets del panel de control que no desea que el usuario pueda ver o acceder. Puede encontrarlo en la configuración del usuario ➤ Plantillas administrativas ➤ Panel de control, y deberá ingresar el nombre canónico para cada elemento del panel de control que desea ocultar.

Configurar acceso remoto de escritorio

En el siguiente, veremos cómo podemos usar herramientas de acceso remoto para admitir usuarios en ubicaciones remotas, y una de las herramientas principales es el escritorio remoto. Esto debe activarse en PC y se puede hacer utilizando la política de grupo. Navegue a la configuración de la computadora ➤ Plantillas administrativas ➤ Componentes de Windows ➤ Servicios de escritorio remotos ➤ Host de sesión de escritorio remoto ➤ Conexiones donde puede habilitar el acceso remoto de la PC.

Bloquear conexiones entrantes para redes públicas

La seguridad se puede endurecer significativamente en una PC bloqueando todas las conexiones entrantes cuando la computadora está conectada a una red pública, como una cafetería o cuando está en un tren. Abrir la configuración de la computadora ➤ Configuración de Windows ➤ Configuración de seguridad ➤ Firewall de defensa de Windows con seguridad avanzada ➤ Windows Defender Firewall con seguridad avanzada y luego haga clic en el enlace Propiedades de Windows Defender Firewall.
Esto mostrará un cuadro de diálogo en el que puede hacer clic en la pestaña Perfil público y bloquear todas las conexiones entrantes (consulte la Figura 3-12).

Figura 3-12. Bloquear las conexiones entrantes para redes públicas puede hacer que una PC sea más segura

Habilitar el registro de firewall

Además en el defensor de Windows con políticas avanzadas de firewall, puede habilitar el registro del firewall (ver Figura 3-13). Esto ahorrará un registro de actividad de firewall en un archivo %systemroot %\ system32 \ logFiles \ firewall \ pfirewall.log que podría ser útil más adelante al solucionar problemas de la red.

Figura 3-13. Puede habilitar el registro para el firewall de Windows

Desactivar almacenamiento extraíble

Una de las formas principales para que el malware se encuentre en una red corporativa es que los usuarios traigan los usuarios en una unidad flash USB. Puede deshabilitar todo el uso de almacenamiento extraíble en Windows 11, y esta también es una política recomendada si sus servidores contienen datos que pueden ser sensibles al robo.
Configuración de computadora ➤ Plantillas administrativas ➤ Sistema ➤ El acceso al almacenamiento extraíble es donde encontrará las políticas para deshabilitar el acceso de lectura y escritura a una variedad de tipos de almacenamiento extraíbles, incluidas las unidades flash USB, que caen en la categoría de discos extraíbles.

Solución de problemas y diagnóstico

Esta selección de políticas, que se pueden encontrar en la configuración de la computadora. ➤ Plantillas administrativas ➤ Sistema ➤ La resolución de problemas y el diagnóstico contienen muchas políticas que puede encontrar que son útiles para implementar en sus PC.
Incluyen diagnósticos de compatibilidad de aplicaciones que pueden detectar e informar diferentes tipos de falla de la aplicación Win32, recuperación de archivos corrupto, diagnóstico de rendimiento de arranque de Windows, diagnóstico de fuga de memoria de Windows que puede ser útil para detectar una posible ruta de ataque para malware y apagado, reserva/currículum vitae, y diagnóstico de capacidad de respuesta del sistema.

Desactivar la autoplay

Mencioné hace un tiempo que puedes bloquear todos los medios extraíbles de una PC. Es posible que no desee hacer esto, ya que puede ser muy útil para los usuarios transferir archivos hacia y desde unidades flash USB. Sin embargo, el malware aún puede sentarse en estas unidades, pero puede ayudar a mitigar contra él desactivando la función de reproducción automática cuando se enchufa una unidad.
Navegue a la configuración de la computadora ➤ Plantillas administrativas ➤ Componentes de Windows ➤ Políticas de reproducción automática para deshabilitar la función Autoplay para todos los usuarios de la PC.

Gestión de registro de eventos e informes de errores

Configuración de computadora ➤ Plantillas administrativas ➤ Componentes de Windows ➤ El servicio de registro de eventos es donde encontrará políticas para administrar el registro de eventos de Windows.
Veremos el registro de eventos en detalle en el Capítulo 8, pero es una herramienta increíblemente útil para diagnosticar problemas en una PC. Puede administrar la política de grupo de inicio de sesión de eventos, incluida la realización automática de copias de copia de seguridad del registro de eventos cuando esté lleno.
Hay políticas de informes de errores adicionales que se encuentran en la configuración de la computadora ➤ Plantillas administrativas ➤ Componentes de Windows ➤ Informes de error de Windows.

Configuración de política grupal adicional

Algunas de las políticas adicionales que quizás desee implementar puede hacer que la PC sea más segura y menos vulnerable al ataque de piratas informáticos y malware. Puede encontrarlos en las siguientes ubicaciones: Configuración de la computadora ➤ Plantillas administrativas ➤ Componentes de Windows, y luego seleccione las suboperaciones para ...

• Servicio de instalador ActiveX
• Agregar características a Windows 11
• Implementación del paquete de aplicaciones
• Biométrico
• Cifrado de unidad de bloqueador de bits
• Antivirus defensor de Microsoft
• Guardia de aplicaciones de Microsoft Defender
• Guardia de explotación del defensor de Microsoft
• Factor de autenticación secundaria de Microsoft
• Servicios de escritorio remotos
• Instalador de Windows
• Opciones de inicio de sesión de Windows
• Windows Remote Management (WinRM)
• Seguridad de Windows
• Actualización de Windows

Política de seguridad local

Además de todo el control ofrecido por el editor de políticas del grupo, el panel de políticas de seguridad local proporciona opciones y control adicionales. El más fácil de acceder desde el menú de inicio buscando SECPOL, el panel de política de seguridad local se separa en diferentes categorías fáciles de entender (ver Figura 3-14).

Figura 3-14. Puede especificar políticas de seguridad para la PC

Estas políticas de seguridad cubren todos los aspectos de usar y operar la PC. Las áreas de política de seguridad más útiles son las siguientes:

• Políticas de cuenta es donde puede especificar la contraseña mínima, la edad, la longitud y los requisitos de complejidad, así como determinar después de cuántos intentos de inicio de sesión fallidos, la cuenta está bloqueada en la PC.
• Políticas locales Contiene opciones para los eventos de la cuenta de auditoría (mantener registros de eventos), así como especificar las políticas de seguridad para los derechos y acceder a los diferentes usuarios y grupos de usuarios que tienen en la PC y qué tipos de cuentas se pueden configurar.
• Políticas de clave pública Le permite especificar políticas de seguridad para las claves de cifrado/descifrado y la recuperación de datos asociada con el sistema de archivos de cifrado (EFS), la protección de datos y el bloqueador de bits.
• Políticas de restricción de software Le permite controlar estrictamente el acceso al software y aplicaciones instaladas en la PC.
• Políticas de control de la aplicación es donde puede establecer políticas para el servicio App-Locker de Microsoft; Esto le da a los administradores del sistema un gran control sobre qué aplicaciones y archivos se pueden ejecutar y abrir y cómo los archivos ejecutables, los scripts, los instaladores y las bibliotecas de enlace dinámico (DLL) pueden abrir y operar en la PC.

Bio-metrics y autenticación de dos factores

Si bien estamos en el tema de la seguridad, quiero tomar un poco de tiempo para hablar sobre la importancia de la bio-metética y la autenticación de dos factores (TFA), ya que ambos son absolutamente cruciales para mantener la seguridad de los datos de las empresas y organizaciones y también La privacidad y la seguridad financiera de absolutamente todos.
Hay grandes diferencias entre los dos, y no todos los métodos son perfectos. Sin duda serás consciente de lo que tanto la biometría como la TFA (a veces denominadas autenticación multifactor Estos sistemas y cuáles pueden ser algunas de las soluciones. Esto se debe a que es posible que desee tenerlos en cuenta al decidir qué políticas implementar para sus PC y sistemas.
Quiero lidiar primero con la autenticación de dos factores, ya que esta me vuelve absolutamente loco. Vivo en la zona rural de Francia como ya he mencionado anteriormente en este libro. Mi casa tiene una construcción secundaria común a Francia llamada gîte. Los Gîtes se consideran casas de vacaciones para visitar huéspedes, pero generalmente son alojamientos de trabajadores agrícolas o dependencias convertidas. Mi propio Gîte solía ser un gran granero.
De todos modos, sin querer aburrirlo demasiado con mis arreglos de vivienda personal, mi gîte es donde he puesto mi oficina en casa (ver Figura 3-15). Hice esto por dos razones, en primer lugar, para mantener algún tipo de separación entre mi hogar y mi vida laboral y también porque (por razones de que solo estaba más saludable de esta manera) quería mantener mi PC de escritorio fuera de la casa.

Figura 3-15. Mi oficina en casa está en mi Gite

Entonces, ¿cómo se relaciona esto con la autenticación de dos factores que escucho preguntar? El simple hecho es que las notificaciones para las alertas de TFA casi siempre vienen en forma de mensajes de texto SMS o ventanas emergentes en mi teléfono inteligente. "Esto es perfectamente normal, así que todavía no lo estoy entendiendo", dices. No me gustan los teléfonos, especialmente los que constantemente hacen ping, pilan y lloran por mi atención. Apago todas las notificaciones e incluso el timbre de llamadas en mis teléfonos inteligentes porque no hay un mensaje o una llamada que pueda llegar que sea tan importante que no pudiera esperar una hora.
Este apago de mi teléfono significa que no lo llevo habitualmente.
Por lo tanto, y probablemente estés adivinando ahora hacia dónde va esto, significa que cada vez que recibo una alerta de TFA, el teléfono está en un edificio completamente diferente para mí o está enterrado en algún lugar, lo que me obliga a tener que buscarlo. .
Algunas compañías están mejorando mucho en la gestión de alertas de TFA. Mi tarjeta American Express es un buen ejemplo en el que AMEX me da la opción de recibir mi código TFA por SMS o correo electrónico. Es bueno, francamente, tener la opción, ya que la cantidad de veces que he estado en mi PC en el Gîte y tuve que ir a la casa de mal humor para encontrar mi maldito teléfono es demasiado grande para contar.
Entonces, usted dice, dado que cada vez más personas se apagan de sus teléfonos inteligentes e intentan vivir vidas más saludables donde no están constantemente conectados a Internet y las redes sociales, la respuesta radica en proporcionar más de una forma de recibir un TFA ¿alerta? Bueno, sí pero con advertencias.
El problema aquí viene con el envío de estas alertas por correo electrónico. El correo electrónico es la definición misma de comunicación no garantizada. No está certificado, fácilmente interceptado y legible en casi todos los dispositivos que tenemos. ¿Tiene algún dispositivo donde, una vez que se desbloquee el dispositivo, debe ingresar una contraseña o escanear su huella digital para leer su correo electrónico? Porque no lo hago, ni conozco a nadie que lo haga.
Esto significa que, para tomar un ejemplo, alguien roba su computadora portátil y puede llegar al escritorio porque se registró en ese momento. Quieren realizar una acción que requiere una alerta de TFA, pero en lugar de también necesitar acceso a su teléfono inteligente, que todavía está en su bolsillo, pueden abrir su correo electrónico y obtener el código de seguridad allí. Alternativamente, la computadora portátil está bloqueada, pero aún así puede obtener el código, ya que aparecerá una pequeña vista previa del correo electrónico que llega en la pantalla de bloqueo, probablemente mostrando el código en texto sin formato.
Por supuesto, puede evitar la visualización de correo electrónico y otros mensajes entrantes en la pantalla de bloqueo de la PC en la configuración ➤ Las notificaciones, y esto, francamente, siempre es algo sensato (ver Figura 3-16).

Figura 3-16. Puede ocultar contenido de notificaciones en la pantalla de bloqueo

La solución viene en forma de biométrica. Esto se puede hacer de una de dos maneras.
La primera es que tiene un teléfono inteligente configurado para que debe usar una huella digital o reconocimiento facial para desbloquearlo cada vez que se usa, aunque esto puede volver rápidamente para el usuario final y corre el riesgo de ser apagado o reducido después de cinco minutos más o menos. El otro es usar el sistema Bio-Metrics de Windows Hello Hello integrado en Windows 11.
Bio-Metrics en Windows actualmente viene en tres sabores diferentes, huellas digitales, reconocimiento facial y tarjeta inteligente, y puede configurar Windows Hello en Configuración ➤ Cuentas ➤ Opciones de inicio de sesión.

Consejo: Se reconoce ampliamente que el inicio de sesión de huellas digitales es más segura que el facial
Reconocimiento, que a menudo puede ser engañado por gemelos o personas que se parecen e incluso en ocasiones por una fotografía dependiendo del sistema utilizado.

Uno de los mayores beneficios de usar Windows Hello es que Microsoft está presionando en gran medida un futuro sin contraseña y está alentando a las compañías de terceros a conectarse a los sistemas biométricos de su PC. Uno de los primeros en subir a bordo fue Google, y es posible que ya haya notado que puede usar Windows Hello para autenticar su acceso a sus cuentas de Google y Google Workspace.
Microsoft también tiene una amplia documentación sobre cómo puede usar Windows Hello Biometrics en su propio negocio u organización, y esto va mucho más allá de lo que está disponible para iniciar sesión en un anuncio de Azure o una cuenta de Microsoft 365.
El sistema bio-metrics de Microsoft también ha sido adoptado por otras compañías y organizaciones, incluida la Alianza FIDO (Fast Identity Online), que incluye cientos de otros miembros, incluidos Apple, Intel, Samsung y VMware y instituciones financieras como Visa, American Express, MasterCard, MasterCard , y PayPal. El futuro de Windows Hello Bio-Metrics respaldado por otras compañías y organizaciones solo crecerá a medida que avancen los años.
Puede leer la documentación técnica y de configuración sobre el uso de Windows Hello Bio-Metrics en su propia organización en el sitio web de Microsoft Docs.

El Centro de Seguridad de Windows

Probablemente habrá adivinado al leer este capítulo, pero siempre he sentido que una parte importante del mantenimiento de un ecosistema de PC robusto y resistente es establecer y mantener una buena seguridad, y Windows 11 incluye algunas características de seguridad excelentes. En el Capítulo 18, le mostraré cómo eliminar manualmente las infecciones de malware de una PC, pero incluso con las principales características antivirus apagadas y trabajando con virus vivos, no pude infectar mi máquina virtual de prueba. Esto es claramente un testimonio del arduo trabajo que Microsoft ha realizado en los últimos años.
El Centro de Seguridad de Windows es accesible de varias maneras. Puede buscarlo en el menú Inicio, hacer clic en el icono de escudo en la bandeja del sistema de la barra de tareas o abrirlo desde la privacidad y la seguridad en la configuración. Quiero tomar una nota aquí que lo que ves y lo que describo en esta sección cambiará a lo largo de los años. Esto se debe a que al momento de escribir, Windows Security aún no ha tenido un cambio de imagen visual de Windows 11 y también porque Microsoft ocasionalmente está agregando nuevas características y funcionalidades para abordar las últimas amenazas planteadas para nuestras PC.
Sin embargo, es muy poco probable que el diseño principal del Centro de Seguridad de Windows cambie, con las categorías principales para la protección que figura en un panel en el lado izquierdo y sub-ítems para el panel seleccionado actualmente a la derecha (ver Figura 3-17).

Figura 3-17. La seguridad de Windows se administra desde un panel central

Nota: Microsoft utiliza molesto Windows Security para intentar impulsarlo para que use sus servicios, por lo que puede ver algunas alertas si no tiene algo como OneDrive configurado en la PC o si se está utilizando una cuenta local. Con suerte, esto es algo que la compañía rectificará en los próximos años.

Protección contra el virus y las amenazas

La sección principal es donde se pueden encontrar todas las herramientas antimalware y donde puede controlar el escáner antivirus. Existen las opciones habituales disponibles, como el escaneo rápido, el escaneo completo, el escaneo personalizado (por ejemplo, para los medios extraíbles) y también el escaneo fuera de línea de Microsoft Defender que reiniciará la PC y ejecutará un escaneo de malware en el entorno de recuperación donde no se puede cargar malware .
No voy a ejecutar todas las características antimalware, pero hay algunos que son especialmente notables a los que quiero llamar la atención.

Artículos excluidos

Uno de los desafíos con la solución de problemas de virus y malware puede ser el problema de los falsos positivos. Estos pueden provenir de una variedad de fuentes. Puede, como ejemplo, tener Scripts Macro Macro Basic u otros más antiguos que necesita usar en su flujo de trabajo, donde esos flujos de trabajo aún no se han transiciones a métodos más nuevos o donde simplemente no es factible hacerlo.
Es probable que sepa que los scripts y las macros son un excelente lugar para que el malware se esconda, y durante muchos años, los escritores de malware de Word, Excel, PowerPoint y Adobe Portable Format (PDF) fueron atacados por escritores de malware o distribuidos por correo electrónico para intentarlo e infección extendida.
Como resultado, las compañías que combinan malware, Microsoft incluyó, crearon salvaguardas en su software que, naturalmente, aumentaron en gran medida la probabilidad de obtener un resultado falso positivo en un archivo no infectado con malware que necesita o usa en su flujo de trabajo diario.
En el panel de seguridad principal de Windows, bajo la sección de protección contra el virus y amenazas, puede agregar (y eliminar) exclusiones para una PC (ver Figura 3-18). Esto significa que puede decirle a Windows Security que no escanee los archivos que está marcando como infectado incorrectamente.

Figura 3-18. Puede excluir archivos falsos positivos de los escaneos de malware

Consejo: Puede implementar la configuración global para Windows Security en toda su organización, incluida la adición de exclusiones de archivos, utilizando el editor de políticas del grupo. Encontrará todas las opciones disponibles en la configuración de la computadora. ➤ Plantillas administrativas ➤ Componentes de Windows ➤ Antivirus de defensor de Microsoft.

Acceso a carpetas controladas

Justo encima de los elementos excluidos en el Centro de Protección de Virus y Amenazas hay una característica llamada Acceso a la carpeta controlada (ver Figura 3-19). Esta es una característica muy útil y altamente efectiva para combatir el ransomware, y si usa el antivirus de seguridad de Windows en sus PC en lugar de una solución de terceros, entonces le recomiendo que lo active.

Figura 3-19. Windows 11 tiene protección de ransomware horneado

Lo que hace el acceso a la carpeta controlada es monitorear las carpetas de los usuarios en una PC (documentos, imágenes, etc.) y bloquear cualquier intento de un proceso o servicio, no reconoce que intente hacer un cambio. Estos cambios incluyen modificar un archivo para inyectar malware, encriptarlo o cambiarlo, o eliminarlo.
Donde el acceso controlado a la carpeta puede causar problemas es donde tiene un software de terceros que legítimamente necesita acceder a las carpetas protegidas, pero que la función no reconoce, o donde necesita una carpeta o carpetas adicionales en la PC protegida por la función , como una tienda de archivos en un segundo disco duro interno o SSD.
El primer problema es muy común para las PC para juegos, donde los juegos necesitan acceso a las tiendas de archivos. Si se bloquea que una aplicación realice cambios en las carpetas protegidas, aparecerá una alerta emergente en la esquina inferior derecha del escritorio, diciéndole que "los cambios no deseados fueron bloqueados". Afortunadamente, esto es muy fácil de solucionar y solo tiene que ser solucionado una vez.
En la configuración de acceso de carpeta controlada en Windows Security, hay cuatro opciones disponibles para usted. El primero es un interruptor simple de encendido/apagado para la función. Debajo de esto, verá enlaces para mostrar el historial de su bloque, establecer sus carpetas protegidas y permitir una aplicación a través del acceso a la carpeta controlada (consulte la Figura 3-20).

Figura 3-20. Puede administrar el acceso a la carpeta controlada en la seguridad de Windows

Para agregar una carpeta o, de hecho, una unidad completa al acceso controlado de la carpeta, haga clic en el enlace de carpetas protegidas donde podrá agregar (o eliminar) las carpetas del monitoreo. Si necesita permitir una aplicación, haga clic en el enlace Permitir una aplicación a través de ... donde podrá agregarla.
Sin embargo, en muchas ocasiones, se bloqueará una aplicación, no sabrá realmente qué es, y tal vez la notificación emergente que le indica a usted (u otro usuario que está apoyando) desapareció del escritorio antes de poder leerlo correctamente.
Aquí es donde la historia del bloque es útil. Haga clic en esto y verá una lista de eventos que fueron bloqueados por el acceso a la carpeta controlada. Haga clic en uno para expandirlo y ver más información, y verá detalles sobre la fecha y hora en que ocurrió el evento, así como el nombre de la aplicación o proceso que fue bloqueado, y la carpeta protegida a la que intentó acceder (consulte la Figura 3 -21).

Figura 3-21. Puede ver el historial de bloque para el acceso a la carpeta controlada

Si reconoce algo como una aplicación o proceso que no debería haber sido bloqueado, haga clic en el botón Acciones y aparecerá una opción para permitir [esa aplicación] en [el] dispositivo.
Simplemente haciendo clic en esto una vez establecerá la exclusión a nivel mundial, y no tendrá que preocuparse por eso nuevamente en esa PC.
Sin embargo, tenga en cuenta que algunas aplicaciones tienen varios procesos diferentes que deben acceder. Puede ser aconsejable mantener una lista de las aplicaciones que deben permitirse. Luego puede configurar esto a nivel mundial para su organización utilizando la política de grupo. Navegue en el editor de políticas de grupo a la configuración de la computadora ➤ Plantillas administrativas ➤ Componentes de Windows ➤ Antivirus defensor de Microsoft ➤ Guardia de explotación del defensor de Microsoft ➤ Acceso de carpeta controlada, y verá una opción para configurar aplicaciones permitidas junto con otros controles globales para la función (ver Figura 3-22).

Figura 3-22. Puede configurar el acceso a la carpeta controlada utilizando la política de grupo

Protección basada en la reputación

Microsoft ha incluido durante algunos años en Windows una función de protección en la nube llamada Smart-Screen. Lo que esto hace es verificar archivos y aplicaciones descargadas contra listas blancas y negras que poseen Microsoft. Estas listas se compilan en colaboración entre Microsoft y muchos otros sistemas operativos y empresas de seguridad. Si se descarga un archivo o una aplicación que parezca sospechosa, el sistema bloqueará automáticamente automáticamente.
Una vez más, esto puede ser problemático en los negocios, donde ocasionalmente o incluso regularmente necesita compartir aplicaciones y archivos más antiguos que no estén en la lista blanca. Para solucionar esto, abra la seguridad de Windows y navegue hasta el control de la aplicación y el navegador, donde verá un enlace de configuración de protección basado en la reputación (consulte la Figura 3-23).

Figura 3-23. Puede administrar la pantalla inteligente de Windows en protección de la reputación

No hay una razón real para deshabilitar la pantalla inteligente, aunque si aloja instaladores y documentos en la red de su empresa que son marcados por el sistema como falsos positivos, o que ya tiene una pared sónica o un dispositivo similar que hace mucho el mismo trabajo , se puede deshabilitar.
Microsoft tiene una instalación en la que puede enviar archivos que se informan incorrectamente, para que se puedan agregar a nivel mundial a la lista blanca de pantalla inteligente.
Además, si necesita verificar qué archivos han sido bloqueados por Smart-Screen, puede usar el comando power-shell wevtutil sl microsoft-windows-smart-screen / debug / e: verdadero para mostrar el registro de pantalla inteligente completa para un ORDENADOR PERSONAL.

Protección para explotar

Las otras configuraciones de seguridad que quiero resaltar están en la aplicación y la protección de exploits de aplicaciones y explotación (ver Figura 3-24). Estos incluyen configuraciones que están más vinculadas al hardware de su PC, como el procesador y la memoria, y existen para evitar eventos como desbordamientos de búfer de memoria que se pueden usar para inyectar malware en un sistema.

Figura 3-24. Las configuraciones de protección de exploit están más estrechamente vinculadas a su procesador y memoria física

Donde es posible que deba configurar esto es si está utilizando un software más antiguo y personalizado escrito para un propósito específico en su organización. Esto puede usar con frecuencia técnicas de programación que están mal vistas hoy, como siempre requerir que los privilegios de administrador funcionen, que era común en los días previos a Vista.
Haga clic en la configuración del programa y puede agregar y editar la configuración de anulación para aplicaciones específicas que están bloqueadas por la seguridad de Windows 11 o que no funcionen correctamente (consulte la Figura 3-25).

Figura 3-25. Puede anular la protección de exploit para aplicaciones específicas

Además, en la configuración de protección de exploit hay un enlace de configuración de exportación. Puede usar esto cuando haya configurado todas sus anulaciones requeridas para guardar su configuración como un archivo XML que luego se puede implementar en su organización. No es inmediatamente obvio en la seguridad de Windows cómo hace esto, pero Microsoft proporciona una guía completa en su sitio web de Doc, incluida la forma en que puede usar Power-Shell para automatizar el proceso de exportación e implementación.

Seguridad del dispositivo

Existe una opción de integridad de memoria adicional en la seguridad del dispositivo ➤ Aislamiento del núcleo Aunque esto está deshabilitado de forma predeterminada porque puede interferir con el funcionamiento de algunas aplicaciones más antiguas.
El aislamiento del núcleo ayuda a evitar que el malware inserte el código en procesos de memoria de alta seguridad virtualizando algunas partes de Windows y la operación de la aplicación en la PC.
Esta es, por supuesto, una función de seguridad muy útil, aunque deberá probar a fondo todas sus aplicaciones a medida y convencionales para asegurarse de que no se rompan por su seguridad. Hay un enlace para obtener más información en la página de configuración de aislamiento central que lo lleva directamente a un sitio web de Microsoft que proporciona información más profunda y actualizada sobre esta función.

Historial de protección

La última parte de la seguridad de Windows que quiero resaltar es el enlace del historial de protección en la parte inferior de la lista del menú principal (consulte la Figura 3-26). Este es un panel de fácil acceso que mostrará todos los eventos de seguridad que han sido bloqueados por Windows Security, y es una ubicación útil de "Findir rápida" si desea determinar si la configuración debe modificarse o una aplicación permitida a través de un característica de seguridad.

Figura 3-26. Puede acceder fácilmente a su historial de protección en Windows Security

El firewall avanzado de Windows

Windows 11 incluye dos interfaces de firewall diferentes. El principal firewall está disponible en Windows Security en Firewall y Protección de Red. Esta es una interfaz bastante básica, todo contado, ya que el firewall de Windows rara vez necesita una configuración real; Es algo que se sienta en silencio en el fondo y funciona de manera tan efectiva que muchas compañías antivirus de terceros han abandonado desde hace mucho tiempo sus propios firewalls agrupados.
Sin embargo, en la parte inferior del panel de protección de firewall y red se encuentran algunos enlaces útiles (ver Figura 3-27). El más útil de estos es permitir una aplicación a través del firewall. Actualmente, esto lo lleva a un applet de panel de control, pero es algo que se plegará completamente en la configuración en un momento futuro.

Figura 3-27. Tiene un control básico del firewall en la seguridad de Windows

Si hace clic en el enlace de configuración avanzada, entonces se abrirá el firewall de Windows Defender con seguridad avanzada, también conocida como interfaz de firewall avanzada (ver Figura 3-28). Tenga en cuenta que también puede encontrar el firewall avanzado en las herramientas de Windows.

Figura 3-28. El firewall avanzado ofrece control y configuración de firewall completo

Es en esta interfaz que puede configurar reglas personalizadas, como permitir o bloquear los puertos específicos en la PC o especificar que las conexiones de red y Internet de ciertos tipos siempre deben estar encriptadas.

Nota: Windows Defender Firewall con Security Advanced también está disponible en el editor de políticas de grupo bajo la configuración de la computadora ➤ Configuración de Windows ➤ Configuración de seguridad ➤ Firewall de defensa de Windows con seguridad avanzada.

En el menú de acción en el firewall avanzado, encontrará opciones de importación y exportación que utilizarán *.wfw archivos que son archivos de colmena de registro binario. Estos se pueden abrir utilizando el editor de registro en Windows. Sin embargo, asegúrese de que primero cree una nueva clave de registro para importar la colmena; De lo contrario, puede encontrarse sobrescribiendo las reglas en la PC, prefiere no ser tocado. Debe eliminar su clave de registro temporal cuando haya terminado. Como puede imaginar, el firewall se puede configurar utilizando Power-Shell.

Solución de problemas y reparación del firewall de Windows

Puede solucionar problemas y restablecer el firewall de Windows tanto en la seguridad de Windows como en los paneles avanzados de firewall. En el primero, haga clic en los firewalls de restauración al enlace predeterminado. En el firewall avanzado, haga clic en el menú de acción y verá opciones para restaurar la política predeterminada y diagnosticar/reparar.
El último de estos ejecutará uno de los solucionadores automatizados de Windows 11. Estos componentes de Windows restablecidos a su estado predeterminado si se considera corruptos o no funcionan correctamente. La opción anterior simplemente restablecerá el firewall a cómo fue cuando Windows 11 se instaló por primera vez.

Resumen

Hay muchas características disponibles en Windows 11 para ayudar a salvaguardar contra problemas que ocurren en el futuro, y las características de seguridad son realmente extensas. Podemos esperar que estas opciones de seguridad se cambien y se amplíen con el tiempo a medida que surjan nuevos tipos de amenazas, por lo que es posible que lo que he descrito en este capítulo pueda ser diferente unos años más adelante.
Sin embargo, lo que está claro es que la configuración correctamente de Windows 11 es clave para un momento feliz y productivo con sus PC, por lo que en el próximo capítulo examinaremos cómo hacerlo desde la gestión de cuentas de usuarios y carpetas de usuarios de shell hasta ayudar a los trabajadores híbridos y crear sostenibles Sistemas de PC.