Inicio de su viaje hacia el Reglamento general de protección de datos (RGPD) para Windows Server

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

En este artículo se proporciona información sobre el RGPD, incluido lo que es, y los productos que Microsoft proporciona para ayudarle a cumplir los requisitos.

Introducción

El 25 de mayo de 2018 entrará en vigor una ley de privacidad Europaa que establecerá una nueva barrera global en materia de derechos de privacidad, seguridad y cumplimiento.

El Reglamento general de protección de datos (o RGPD) trata fundamentalmente de proteger y habilitar los derechos de privacidad de las personas. El RGPD establece estrictos requisitos de privacidad globales que rigen cómo administra y protege los datos personales respetando la elección individual, independientemente de dónde se envíen, procesen o almacenen los datos.

Microsoft y nuestros clientes están ahora en un recorrido para lograr los objetivos de privacidad del RGPD. En Microsoft, creemos que la privacidad es un derecho fundamental, y creemos que el RGPD es un importante paso adelante para aclarar y permitir los derechos de privacidad individuales. Pero también reconocemos que el RGPD requerirá cambios significativos por parte de las organizaciones de todo el mundo.

Hemos descrito nuestro compromiso con el RGPD y la forma en la que apoyamos a nuestros clientes en la entrada del blog Cumpla con el RGPD con la nube de Microsoft de nuestro Director de privacidad Brendon Lynch y en la entrada del blog “Ganándonos su confianza con compromisos contractuales con el Reglamento general de protección de datos” de Rich Sauer, Vicepresidente corporativo de Microsoft y Consejero general adjunto.

Aunque su camino hacia el cumplimiento del RGPD pueda parecer difícil, estamos aquí para ayudarle. Para obtener información específica sobre el RGPD, nuestros compromisos y cómo comenzar su viaje, visite la sección RGPD del Centro de confianza de Microsoft.

RGPD y sus implicaciones

El RGPD es una normativa compleja que puede requerir cambios significativos en cómo se recopilan, usan y administran datos personales. Microsoft tiene un largo historial ayudando a nuestros clientes a cumplir con normativas complejas, y cuando se trata de prepararse para el RGPD, somos su compañero en este viaje.

El RGPD impone normas a las organizaciones que ofrecen bienes y servicios a personas de la Unión Europea (UE), o que recopilan y analizan datos vinculados a residentes de la UE, independientemente de la ubicación de dichas empresas. Entre los elementos clave del RGPD se encuentran los siguientes:

  • Derechos de privacidad personales mejorados. Reforzar la protección de datos para los residentes de la UE asegurándose de que tienen derecho a acceder a sus datos personales, para corregir inexactitudes en esos datos, borrar esos datos, para oponerse al procesamiento de sus datos personales y para moverlos.

  • Mayor deber para proteger los datos personales. Responsabilidad reforzada de las organizaciones que procesan datos personales, lo que proporciona mayor claridad de responsabilidad para garantizar el cumplimiento.

  • Informes obligatorios de infracciones de datos personales. Las organizaciones que controlan los datos personales deben notificar infracciones de datos personales que suponen un riesgo para los derechos y libertades de las personas a sus autoridades de supervisión sin demora innecesaria y, cuando sea factible, no más de 72 horas una vez que se enteren de la infracción.

Como puede anticipar, el RGPD puede tener un impacto significativo en su negocio, exigiéndole potencialmente que actualice las directivas de privacidad, implemente y refuerce los controles de protección de datos y los procedimientos de notificación de infracciones, implemente directivas muy transparentes e invierta más en TI y formación. Microsoft Windows 10 puede ayudarle a abordar con eficacia y eficiencia algunos de estos requisitos.

Datos personales y confidenciales

Como parte de su esfuerzo para cumplir con el RGPD, deberá comprender cómo define el reglamento los datos personales y confidenciales y cómo se relacionan esas definiciones con los datos mantenidos por su organización. En función de esa comprensión, podrá detectar dónde se crean, procesan, administran y almacenan esos datos.

El RGPD considera que los datos personales son cualquier información relacionada con una persona física identificada o identificable. Eso puede incluir tanto la identificación directa (como, por ejemplo, su nombre legal) como la indirecta (como, por ejemplo, información específica que deje claro que es a usted a quien hacen referencia los datos). El RGPD también deja claro que el concepto de datos personales incluye identificadores en línea (como, direcciones IP, identificadores de dispositivo móvil) y datos de ubicación.

El RGPD presenta definiciones específicas para datos genéticos (como, por ejemplo, la secuencia genética de un individuo) y datos biométricos. Los datos genéticos y los datos biométricos junto con otras categorías secundarias de datos personales (datos personales que revelan el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas, o la pertenencia a la unión sindical: datos relativos a la salud o datos relativos a la vida sexual o a la orientación sexual de una persona) se tratan como datos personales confidenciales en virtud del RGPD. Los datos personales confidenciales cuentan con una mayor protección y, por lo general, requieren el consentimiento explícito de la persona cuando se van a tratar.

Ejemplos de información relacionada con una persona física identificada o identificable (interesado)

En esta lista se proporcionan ejemplos de varios tipos de información que se regularán a través del RGPD. Esta no es una lista exhaustiva.

  • Nombre

  • Número de identificación (por ejemplo, SSN)

  • Datos de ubicación (por ejemplo, dirección principal)

  • Identificador en línea (por ejemplo, dirección de correo electrónico, nombres de pantalla, dirección IP, identificadores de dispositivo)

  • Datos seudónimos (como, por ejemplo, usar una clave para identificar a las personas)

  • Datos genéticos (por ejemplo, muestras biológicas de un individuo)

  • Datos biométricos (como huellas digitales, reconocimiento facial)

Introducción al recorrido hacia el cumplimiento del RGPD

Dada la cantidad de implicación para cumplir con el RGPD, se recomienda encarecidamente que no espere a prepararse hasta que comience la aplicación. Debería revisar ahora sus prácticas de privacidad y administración de datos. Se recomienda comenzar su recorrido por el cumplimiento del RGPD centrándose en cuatro pasos clave:

  • Descubra. Identifique qué datos personales tiene y dónde residen.

  • Administración. controlar cómo se utilizan los datos personales y cómo se accede a ellos.

  • Proteger. establecer controles de seguridad para prevenir, detectar y responder a vulnerabilidades e infracciones de datos.

  • Informe. Actúe sobre solicitudes de datos, informe de infracciones de datos y mantenga la documentación necesaria.

    Diagram about how the 4 key GDPR steps work together

Para cada uno de los pasos, hemos esbozado ejemplos de herramientas, recursos y características de varias soluciones de Microsoft, que pueden usarse para ayudarle a abordar los requisitos de ese paso. Aunque este artículo no es una guía exhaustiva de "cómo hacerlo", hemos incluido vínculos para que pueda encontrar más detalles, y hay más información disponible en la sección RGPD del Centro de confianza de Microsoft.

Seguridad y privacidad de Windows Server

El RGPD requiere que implemente las medidas de seguridad técnicas y organizativas adecuadas para proteger los datos personales y los sistemas de procesamiento. En el contexto del RGPD, los entornos de servidor físico y virtual pueden procesar datos personales y confidenciales. El procesamiento puede significar cualquier operación o conjunto de operaciones, como la recopilación de datos, el almacenamiento y la recuperación.

Su capacidad para cumplir este requisito y aplicar las medidas técnicas de seguridad adecuadas debe reflejar las amenazas a las que se enfrenta en el entorno informático actual, cada vez más hostil. El panorama actual de las amenazas de seguridad es el de unas amenazas agresivas y tenaces. En años anteriores, los atacantes maliciosos se centraban sobre todo en obtener el reconocimiento de la comunidad a través de sus ataques o en la emoción de desconectar temporalmente un sistema. Desde entonces, los motivos del atacante han cambiado para ganar dinero, incluyendo la retención de dispositivos y datos rehenes hasta que el propietario paga el rescate solicitado.

Los ataques modernos se centran cada vez más en el robo de propiedad intelectual a gran escala; la degradación selectiva de sistemas que puede provocar pérdidas financieras; y ahora incluso el ciberterrorismo que amenaza la seguridad de individuos, empresas e intereses nacionales en todo el mundo. Estos atacantes suelen ser personas altamente capacitadas y expertos en seguridad, algunos de los cuales están al servicio de Estados nación que disponen de grandes presupuestos y recursos humanos aparentemente ilimitados. Este tipo de amenazas requieren un enfoque que pueda hacer frente a este reto.

No solo son estas amenazas un riesgo para su capacidad de mantener el control de cualquier información personal o confidencial que pueda tener, pero también son un riesgo material para su negocio general. Considere los datos recientes de McKinsey, Ponemon Institute, Verizon y Microsoft:

  • El costo promedio del tipo de infracción de datos que el RGPD esperará que usted notifique es de 3,5 millones de dólares.

  • El 63 % de estas infracciones implican contraseñas poco seguras o robadas que el RGPD espera que usted aborde.

  • Cada día se crean y propagan más de 300 000 nuevas muestras de malware, lo que hace aún más difícil su tarea de abordar la protección de datos.

Como se ha visto con los recientes ataques de ransomware, en otro tiempo llamada la plaga negra de Internet, los atacantes van tras objetivos más grandes que pueden permitirse pagar más, con consecuencias potencialmente catastróficas. El RGPD incluye sanciones que convierten a sus sistemas, incluidos los dispositivos de escritorio y portátiles, que contienen datos personales y de confidencialidad en objetivos realmente valiosos.

Dos principios clave han guiado y siguen guiando el desarrollo de Windows:

  • Seguridad. Los datos que nuestro software y servicios almacenan en nombre de nuestros clientes deben ser protegidos de cualquier daño y usados o modificados solo de forma apropiada. Los modelos de seguridad deben ser fáciles para que los desarrolladores comprendan y compilen en sus aplicaciones.

  • Privacidad. Los usuarios deberían controlar cómo se usan sus datos. Las directivas para el uso de información deben estar claras para el usuario. Los usuarios deben controlar cuándo y si reciben información para aprovechar mejor su tiempo. Debe ser fácil para los usuarios especificar el uso adecuado de su información, incluido el control del uso del correo electrónico que envían.

Microsoft admite estos principios, como ha señalado recientemente el CEO de Microsoft, Satya Nadella,

"A medida que el mundo sigue cambiando y los requisitos empresariales evolucionan, algunas cosas son constantes: la demanda de seguridad y privacidad por parte del cliente."

A medida que trabaje para cumplir con el RGPD, comprender el rol de sus servidores físicos y virtuales en la creación, el acceso, el procesamiento, el almacenamiento y la administración de datos que pueden calificar como datos personales y potencialmente confidenciales en virtud del RGPD es importante. Windows Server proporciona funcionalidades que le ayudarán a cumplir los requisitos del RGPD para implementar las medidas de seguridad técnicas y organizativas adecuadas para proteger los datos personales.

La postura de seguridad de Windows Server 2016 no es un complemento; es un principio arquitectónico. Y se puede entender mejor en cuatro entidades de seguridad:

  • Proteger. Enfoque continuo e innovación en las medidas preventivas; bloquear ataques conocidos y malware conocido.

  • Detectar. Herramientas de supervisión completas para ayudarle a detectar anomalías y responder a ataques más rápido.

  • Responder. Tecnologías líderes de respuesta y recuperación, además de experiencia en consultoría profunda.

  • Aislamiento. Aísle los componentes del sistema operativo y los secretos de datos, limite los privilegios de administrador y mida rigurosamente el estado del host.

Con Windows Server, la capacidad de proteger, detectar y defenderse contra los tipos de ataques que pueden provocar infracciones de datos se ha mejorado considerablemente. Dados los estrictos requisitos en torno a la notificación de infracciones en el marco del RGPD, garantizar que sus sistemas de escritorio y portátiles estén bien defendidos le permitirá reducir los riesgos a los que se enfrenta y que podrían dar lugar a un costoso análisis y notificación de infracciones.

En la sección siguiente, verá cómo Windows Server proporciona capacidades que encajan perfectamente en la etapa "Proteger" de su viaje de cumplimiento del RGPD. Estas funcionalidades se dividen en tres escenarios de protección:

  • Proteja sus credenciales y limite los privilegios de administrador. Windows Server 2016 ayuda a implementar estos cambios, para ayudar a evitar que el sistema se use como punto de inicio para más intrusiones.

  • Proteja el sistema operativo para ejecutar las aplicaciones y la infraestructura. Windows Server 2016 proporciona capas de protección, lo que ayuda a impedir que los atacantes externos ejecuten software malintencionado o aprovechen vulnerabilidades.

  • Virtualización segura. Windows Server 2016 habilita la virtualización segura mediante Virtual Machines blindada y Tejido protegido. Esto le ayuda a cifrar y ejecutar las máquinas virtuales en hosts de confianza en el tejido, lo que mejora su protección frente a ataques malintencionados.

Estas funcionalidades, que se describen con más detalle a continuación, con referencias a requisitos específicos del RGPD, se basan en la protección avanzada de dispositivos que ayuda a mantener la integridad y la seguridad del sistema operativo y los datos.

Una disposición clave dentro del RGPD es la protección de datos desde el diseño y de manera predeterminada, y para ayudarle a cumplir esta disposición están las características dentro de Windows 10 como el Cifrado de dispositivos BitLocker. BitLocker usa la tecnología de Módulo de plataforma segura (TPM), que proporciona funciones basadas en hardware y relacionadas con la seguridad. Este chip criptoprocesador incluye múltiples mecanismos de seguridad física para hacerlo resistente a la manipulación, y el software malicioso es incapaz de manipular las funciones de seguridad del TPM.

El chip incluye varios mecanismos de seguridad física que hacen que sea resistente a las alteraciones y que las funciones de seguridad no permitan que el software malintencionado realice alteraciones. Algunas de las principales ventajas de usar la tecnología TPM son que permiten:

  • Generar, almacenar y limitar el uso de claves criptográficas.

  • Usar la tecnología del TPM para la autenticación de dispositivos de plataforma mediante el uso de la clave RSA exclusiva del TPM, que se grabará en sí misma.

  • Garantizar la integridad de la plataforma llevando y almacenando medidas de seguridad.

La protección avanzada adicional de dispositivos relevante para su funcionamiento sin infracciones de datos incluye el Arranque seguro de Windows para ayudar a mantener la integridad del sistema garantizando que el malware no pueda iniciarse antes que las defensas del sistema.

Windows Server: Ayudándole a cumplir con el RGPD

Las características clave de Windows Server pueden ayudarle a implementar de forma eficiente y eficaz los mecanismos de seguridad y privacidad que el RGPD exige para su cumplimiento. El uso de estas características no garantizará su cumplimiento, pero le ayudarán a conseguirlo.

El sistema operativo del servidor se encuentra en una capa estratégica en la infraestructura de una organización, lo que ofrece nuevas oportunidades para crear capas de protección frente a ataques que podrían robar datos e interrumpir su negocio. Aspectos clave del RGPD como la privacidad por diseño, la protección de datos y el control de acceso deben abordarse en su infraestructura informática a nivel de servidor.

Al trabajar para ayudar a proteger las capas de identidad, sistema operativo y virtualización, Windows Server 2016 ayuda a bloquear los vectores de ataque comunes usados para obtener acceso ilícito a sus sistemas: credenciales robadas, malware y una estructura de virtualización comprometida. Además de reducir el riesgo empresarial, los componentes de seguridad integrados en Windows Server 2016 ayudan a abordar los requisitos de cumplimiento de las principales normativas de seguridad gubernamentales y del sector.

Estas protecciones de identidad, sistema operativo y virtualización le permiten proteger mejor su centro de datos que ejecuta Windows Server como máquina virtual en cualquier nube, y limitar la capacidad de los atacantes para comprometer credenciales, iniciar malware y permanecer sin ser detectados en su red. Asimismo, cuando se implementa como host de Hyper-V, Windows Server 2016 ofrece garantías de seguridad para sus entornos de virtualización mediante máquinas virtuales blindadas y funciones de firewall distribuido. Con Windows Server 2016, el sistema operativo del servidor se convierte en un participante activo en la seguridad de su centro de datos.

Protección de las credenciales y limitación de privilegios de administrador

El control sobre el acceso a los datos personales, y los sistemas que procesan esos datos, es un área con el RGPD que tiene requisitos específicos, incluido el acceso de los administradores. Las identidades privilegiadas son todas las cuentas que tienen privilegios elevados, como las cuentas de usuario que son miembros de los grupos Administradores de dominio, Administradores de empresa, Administradores locales o incluso Usuarios avanzados. Dichas identidades también pueden incluir cuentas a las que se han concedido privilegios directamente, como realizar copias de seguridad, apagar el sistema u otros derechos enumerados en el nodo Asignación de derechos de usuario de la consola Directiva de seguridad local.

Como principio general de control de acceso y en consonancia con el RGPD, debe proteger estas identidades con privilegios para que no se vean comprometidas por posibles atacantes. En primer lugar, es importante comprender cómo se ponen en peligro las identidades; después podrá planificar cómo evitar que los atacantes accedan a estas identidades con privilegios.

¿Cómo se ponen en peligro las identidades con privilegios?

Las identidades con privilegios se pueden poner en peligro cuando las organizaciones no tienen directrices para protegerlas. A continuación, se muestran algunos ejemplos:

  • Más privilegios de los necesarios. Uno de los problemas más comunes es que los usuarios tienen más privilegios de los necesarios para realizar su función de trabajo. Por ejemplo, un usuario que administra DNS podría ser un administrador de AD. La mayoría de las veces, esto se hace para evitar la necesidad de configurar diferentes niveles de administración. Sin embargo, si una cuenta de este tipo se ve comprometida, el atacante dispone automáticamente de privilegios elevados.

  • Inicio de sesión constante con privilegios elevados. Otro problema común es que los usuarios con privilegios elevados pueden usarlos durante un tiempo ilimitado. Esto es muy común con los profesionales de TI que inician sesión en un equipo de escritorio mediante una cuenta con privilegios, permanecen conectados y usan la cuenta con privilegios para examinar la Web y usar el correo electrónico (funciones típicas de trabajo de TI). La duración ilimitada de las cuentas con privilegios hace que la cuenta sea más susceptible a los ataques y aumenta las probabilidades de que la cuenta se vea comprometida.

  • Investigación en ingeniería social. La mayoría de las amenazas a las credenciales comienzan investigando la organización y después se llevan a cabo mediante ingeniería social. Por ejemplo, un atacante puede realizar un ataque de phishing por correo electrónico para comprometer cuentas legítimas (pero no necesariamente con privilegios) que tengan acceso a la red de una organización. Después, el atacante usa estas cuentas válidas para realizar investigaciones adicionales en su red e identificar cuentas con privilegios que puedan realizar tareas administrativas.

  • Aprovechamiento de cuentas con privilegios elevados. Incluso con una cuenta de usuario normal, sin privilegios elevados en la red, los atacantes pueden obtener acceso a cuentas con permisos elevados. Uno de los métodos más comunes para hacerlo es usar los ataques Pass-the-Hash o Pass-the-Token. Para más información sobre Pass-the-Hash y otras técnicas de robo de credenciales, consulte los recursos de la página Pass-the-Hash (PtH).

Existen, por supuesto, otros métodos que los atacantes pueden usar para identificar y comprometer identidades con privilegios (y cada día se crean nuevos métodos). Por lo tanto, es importante que establezca prácticas para que los usuarios inicien sesión con cuentas con privilegios mínimos para reducir la capacidad de los atacantes de acceder a identidades con privilegios. En las secciones siguientes se describe la funcionalidad en la que Windows Server puede mitigar estos riesgos.

Administración Just-In-Time (JIT) y Just Enough Admin (JEA)

Aunque la protección contra los ataques Pass-the-Hash o Pass-the-Ticket es importante, las credenciales de administrador aún se pueden robar por otros medios, como la ingeniería social, los empleados descontentos y la fuerza bruta. Por lo tanto, además de aislar las credenciales tanto como sea posible, también querrá una forma de limitar el alcance de los privilegios a nivel de administrador en caso de que se vean comprometidos.

Hoy en día, demasiadas cuentas de administrador tienen demasiados privilegios, aunque solo tengan un área de responsabilidad. Por ejemplo, a un administrador de DNS, que requiere un conjunto muy reducido de privilegios para administrar los servidores DNS, se le suelen conceder privilegios de nivel de administrador de dominio. Además, como estas credenciales se conceden para siempre, no hay límite de tiempo para usarlas.

Cada cuenta con privilegios innecesarios a nivel de administrador de dominio aumenta su exposición a los atacantes que buscan comprometer las credenciales. Para minimizar la superficie de ataque, es conveniente proporcionar solo el conjunto específico de derechos que un administrador necesita para realizar el trabajo, y solo durante el periodo de tiempo necesario para llevarlo a cabo.

Con el uso de Just Enough Administration y la administración Just-in-Time, los administradores pueden solicitar los privilegios específicos que necesiten durante el periodo de tiempo exacto necesario. Para un administrador de DNS, por ejemplo, el uso de PowerShell para activar Just Enough Administration le permite crear un conjunto limitado de comandos que están disponibles para la administración de DNS.

Si la administradora de DNS necesita realizar una actualización en uno de sus servidores, solicitaría acceso para administrar DNS usando Microsoft Identity Manager 2016. El flujo de trabajo de la solicitud puede incluir un proceso de aprobación como la autenticación de dos factores, que podría llamar al teléfono móvil de la administradora para confirmar su identidad antes de conceder los privilegios solicitados. Una vez concedidos, esos privilegios DNS proporcionan acceso al rol de PowerShell para DNS durante un periodo de tiempo específico.

Imagine este escenario si las credenciales del administrador DNS fueran robadas. En primer lugar, dado que las credenciales no tienen privilegios de administrador asociados, el atacante no podrá obtener acceso al servidor DNS ni a ningún otro sistema para realizar ningún cambio. Si el atacante intentara solicitar privilegios para el servidor DNS, la autenticación de segundo factor le pediría que confirmara su identidad. Como no es probable que el atacante tenga el teléfono móvil del administrador de DNS, la autenticación fallaría. Esto bloquearía al atacante del sistema y alertaría a la organización de TI de que las credenciales podrían estar comprometidas.

Además, muchas organizaciones usan la solución gratuita Solución de contraseñas de administrador local (LAPS) como un sencillo pero potente mecanismo de administración JIT para sus sistemas de servidores y clientes. La funcionalidad de LAPS permite administrar las contraseñas de las cuentas locales de los equipos unidos a un dominio. Las contraseñas se almacenan en Active Directory (AD) y están protegidas por una Lista de control de acceso (ACL) para que solo los usuarios que cumplan los requisitos puedan leerlas o solicitar su restablecimiento.

Como se indica en la Guía de mitigación del robo de credenciales de Windows,

"Las herramientas y técnicas que usan los delincuentes para llevar a cabo ataques de robo y reutilización de credenciales mejoran, los atacantes malintencionados lo tienen más fácil para lograr sus objetivos. El robo de credenciales a menudo se basa en prácticas operativas o en la exposición de las credenciales de usuario, por lo que las mitigaciones eficaces requieren un enfoque holístico que aborde las personas, los procesos y la tecnología. Además, estos ataques se basan en que el atacante roba credenciales después de comprometer un sistema para ampliar el acceso o persistir en él, por lo que las organizaciones deben contener las infracciones rápidamente mediante la aplicación de estrategias que impidan que los atacantes se muevan libremente y sin ser detectados en una red comprometida."

Una consideración de diseño importante para Windows Server fue mitigar el robo de credenciales, en particular, las credenciales derivadas. Credential Guard proporciona una seguridad significativamente mejorada contra el robo y la reutilización de credenciales derivadas mediante la implementación de un cambio arquitectónico significativo en Windows diseñado para ayudar a eliminar los ataques de aislamiento basados en hardware en lugar de simplemente intentar defenderse de ellos.

El uso de Credential Guard de Microsoft Defender protege las credenciales derivadas de NTLM y Kerberos mediante la seguridad basada en la virtualización y bloquea las técnicas y herramientas de ataque de robo de credenciales utilizadas en muchos ataques dirigidos. Con la ejecución de malware en el sistema operativo con privilegios administrativos no se pueden extraer secretos que están protegidos con la seguridad basada en la virtualización. Aunque Credential Guard de Microsoft Defender es una potente mitigación, es probable que los ataques de amenazas persistentes cambien a nuevas técnicas de ataque, por lo que también debería incorporar Device Guard, como se describe a continuación, junto con otras estrategias y arquitecturas de seguridad.

Credential Guard de Windows Defender

Credential Guard de Microsoft Defender usa la seguridad basada en la virtualización para aislar la información de las credenciales, evitando que los hashes de las contraseñas o los tickets de Kerberos sean interceptados. Usa un proceso aislado completamente nuevo de la Autoridad de seguridad local (LSA), al que no puede acceder el resto del sistema operativo. Todos los binarios utilizados por el LSA aislado están firmados con certificados que se validan antes de ejecutarlos en el entorno protegido, lo que hace que los ataques del tipo Pass-the-Hash sean completamente ineficaces.

Credential Guard de Microsoft Defender usa:

  • Seguridad basada en virtualización (necesaria). También es necesario:

    • CPU de 64 bits

    • Extensiones de virtualización de la CPU, además de tablas de páginas ampliadas

    • Hipervisor de Windows

  • Arranque seguro (necesario)

  • TPM 2.0, ya sea discreto o firmware (preferido: proporciona enlace al hardware)

Puede usar Credential Guard de Microsoft Defender para ayudar a proteger las identidades con privilegios protegiendo las credenciales y los derivados de credenciales en Windows Server 2016. Para más información sobre los requisitos de Credential Guard de Microsoft Defender, consulte el Protección de las credenciales de dominio derivadas con Credential Guard de Microsoft Defender.

Remote Credential Guard de Windows Defender

Remote Credential Guard de Windows Defender en Windows Server 2016 y Windows 10 Anniversary Update también ayuda a proteger las credenciales de los usuarios con conexiones de escritorio remoto. Anteriormente, cualquier persona que usara los Servicios de Escritorio remoto tenía que iniciar sesión en su máquina local y después se le pedía que volviera a iniciar sesión cuando realizaba una conexión remota a su máquina de destino. Este segundo inicio de sesión pasaría las credenciales a la máquina de destino, exponiéndola a ataques Pass-the-Hash o Pass-the-Ticket.

Con Remote Credential Guard de Microsoft Defender, Windows Server 2016 implementa el inicio de sesión único para las sesiones de Escritorio remoto, eliminando la necesidad de volver a escribir el nombre de usuario y la contraseña. En su lugar, aprovecha las credenciales que ya ha usado para iniciar sesión en el equipo local. Para usar Remote Credential Guard de Windows Defender, el cliente y el servidor de Escritorio remoto deben cumplir los siguientes requisitos:

  • Debe estar unido a un dominio de Active Directory y estar en el mismo dominio o en un dominio con una relación de confianza.

  • Debe usar la autenticación Kerberos.

  • Debe ejecutar al menos Windows 10 versión 1607 o Windows Server 2016.

  • Se requiere la aplicación Escritorio remoto clásica de Windows. La aplicación Escritorio remoto de la Plataforma universal de Windows no es compatible con Remote Credential Guard de Windows Defender.

Puede activar Remote Credential Guard de Microsoft Defender usando un parámetro del registro en el servidor de Escritorio remoto y una directiva de grupo o un parámetro de Conexión a Escritorio remoto en el cliente de Escritorio remoto. Para más información sobre la activación de Remote Credential Guard de Windows Defender, consulte Protección de las credenciales de Escritorio remoto con Remote Credential Guard de Microsoft Defender. Al igual que con Credential Guard de Windows Defender, puede usar Remote Credential Guard de Windows Defender para ayudar a proteger identidades con privilegios en Windows Server 2016.

Protección del sistema operativo para ejecutar sus aplicaciones e infraestructura

La prevención de las ciberamenazas también requiere encontrar y bloquear el malware y los ataques que pretenden hacerse con el control subvirtiendo las prácticas operativas estándar de su infraestructura. Si los atacantes consiguen que un sistema operativo o una aplicación se ejecuten de un modo no predeterminado y no viable, es probable que estén usando ese sistema para realizar acciones maliciosas. Windows Server 2016 proporciona capas de protección que bloquean a los atacantes externos que ejecutan software malintencionado o aprovechan vulnerabilidades. El sistema operativo desempeña un rol activo en la protección de la infraestructura y las aplicaciones alertando a los administradores de la actividad que indica que se ha producido una infracción en el sistema.

Device Guard de Windows Defender

Windows Server 2016 incluye Device Guard de Windows Defender para garantizar que solo se pueda ejecutar software de confianza en el servidor. El uso de la seguridad basada en la virtualización permite limitar los binarios que pueden ejecutarse en el sistema en función de la directiva de la organización. Si algo que no sean los binarios especificados intenta ejecutarse, Windows Server 2016 lo bloquea y registra el intento fallido para que los administradores puedan ver que ha habido una posible infracción. La notificación de infracciones es una parte fundamental de los requisitos para el cumplimiento del RGPD.

Device Guard de Windows Defender también está integrado con PowerShell para que pueda autorizar qué scripts pueden ejecutarse en su sistema. En versiones anteriores de Windows Server, los administradores podían eludir la aplicación de la integridad del código simplemente eliminando la directiva del archivo de código. Con Windows Server 2016, puede configurar una directiva firmada por su organización para que solo una persona con acceso al certificado que firmó la directiva pueda cambiarla.

Protección de flujo de control

Windows Server 2016 también incluye protección integrada contra algunas clases de ataques de corrupción de memoria. La aplicación de parches en sus servidores es importante, pero siempre existe la posibilidad de que se desarrolle malware para una vulnerabilidad que aún no ha sido identificada. Algunos de los métodos más comunes para aprovechar estas vulnerabilidades consisten en proporcionar datos inusuales o extremos a un programa en ejecución. Por ejemplo, un atacante puede aprovechar una vulnerabilidad de desbordamiento de búfer proporcionando más entradas a un programa de lo esperado y saturar el área reservada por el programa para contener una respuesta. Esto puede dañar la memoria adyacente que podría contener un puntero de función.

Cuando el programa llama a través de esta función, puede saltar a una ubicación no deseada especificada por el atacante. Estos ataques también se conocen como ataques de programación orientada a saltos (JOP). La Protección de flujo de control evita los ataques JOP imponiendo estrictas restricciones sobre el código de aplicación que puede ejecutarse, especialmente las instrucciones de llamada indirecta. Agrega comprobaciones de seguridad ligeras para identificar el conjunto de funciones de la aplicación que son destinos válidos para llamadas indirectas. Cuando se ejecuta una aplicación, comprueba que estos destinos de llamada indirectos son válidos.

Si la comprobación de Protección de flujo de control falla en tiempo de ejecución, Windows Server 2016 termina inmediatamente el programa, interrumpiendo cualquier ataque que intente llamar indirectamente a una dirección no válida. Protección de flujo de control proporciona una capa adicional de protección a Device Guard. Si una aplicación incluida en la lista de permitidas ha sido comprometida, podría ejecutarse sin ser comprobada por Device Guard, ya que la detección de Device Guard vería que la aplicación ha sido firmada y se considera de confianza.

Pero como Protección de flujo de control puede identificar si la aplicación se está ejecutando en un orden no predeterminado y no viable, el ataque fallaría, impidiendo que la aplicación comprometida se ejecute. Juntas, estas protecciones hacen muy difícil que los atacantes inyecten malware en el software que se ejecuta en Windows Server 2016.

Se recomienda a los desarrolladores que crean aplicaciones en las que se manejarán datos personales que activen la Protección de flujo de control (CFG) en sus aplicaciones. Esta característica está disponible en Microsoft Visual Studio 2015, y se ejecuta en las versiones "CFG-Aware" de Windows: las versiones x86 y x64 para escritorio y servidor de Windows 10 y Windows 8.1 Update (KB3000850). No tiene que habilitar CFG para cada parte de su código, ya que una mezcla de código habilitado para CFG y no habilitado para CFG se ejecutará sin problemas. Pero no habilitar CFG para todo el código puede abrir brechas en la protección. Además, el código habilitado para CFG funciona correctamente en las versiones "no compatibles con CFG" de Windows y, por lo tanto, es totalmente compatible con ellas.

Antivirus de Windows Defender

Windows Server 2016 incluye las capacidades de detección activas líderes del sector de Windows Defender para bloquear el malware conocido. Antivirus (AV) de Windows Defender trabaja junto con Device Guard y Protección de flujo de control de Windows Defender para evitar que se instale código malintencionado de cualquier tipo en sus servidores. Está activado de manera predeterminada: el administrador no necesita realizar ninguna acción para que empiece a funcionar. AV de Windows Defender también está optimizado para ser compatible con los distintos roles de servidor de Windows Server 2016. En el pasado, los atacantes usaban shells como PowerShell para iniciar código binario malintencionado. En Windows Server 2016, PowerShell está ahora integrado con AV de Windows Defender para buscar malware antes de iniciar el código.

AV de Windows Defender es una solución antimalware integrada que proporciona administración de seguridad y antimalware para equipos de escritorio, equipos portátiles y servidores. AV de Windows Defender se ha mejorado significativamente desde que se introdujo en Windows 8. Antivirus de Windows Defender en Windows Server usa un enfoque múltiple para mejorar el antimalware:

  • La protección en la nube ayuda a detectar y bloquear nuevos programas malintencionados en cuestión de segundos, incluso si nunca se han visto antes.

  • El contexto local enriquecido mejora la identificación del programa malintencionado. Windows Server informa a AV de Windows Defender no solo sobre el contenido, como archivos y procesos, sino también de dónde procede el contenido, dónde se ha almacenado y mucho más.

  • Los amplios sensores globales ayudan a mantener AV de Windows Defender actualizado y al tanto incluso de los programas malintencionados más recientes. Esto se logra de dos maneras: mediante la recopilación de los datos de contexto local enriquecido de extremos y analizando los datos de forma centralizada.

  • La protección contra manipulaciones ayuda a proteger el propio AV de Windows Defender contra los ataques de programas malintencionados. Por ejemplo, AV de Windows Defender usa Procesos protegidos, que impide que procesos no fiables intenten manipular los componentes de AV de Windows Defender, sus claves de registro, etc.

  • Las características de nivel empresarial proporcionan a los profesionales de TI las herramientas y opciones de configuración necesarias para hacer de AV de Windows Defender una solución antimalware de clase empresarial.

Auditoría de seguridad mejorada

Windows Server 2016 alerta activamente a los administradores de posibles intentos de infracción con una auditoría de seguridad mejorada que proporciona información más detallada, que puede usarse para una detección de ataques y un análisis forense más rápidos. Registra los eventos de Protección de flujo de control, Device Guard de Windows Defender y otras características de seguridad en una sola ubicación, lo que facilita a los administradores la tarea de determinar qué sistemas pueden estar en peligro.

Las nuevas categorías de eventos incluyen:

  • Auditar la pertenencia a grupos. Le permite auditar la información de pertenencia a grupos en los tokens de inicio de sesión de un usuario. Los eventos se generan cuando se enumeran o consultan las pertenencias a grupos en el PC en el que se creó la sesión.

  • Auditar actividad PNP. Permite auditar cuándo Plug and Play detecta un dispositivo externo, que podría contener malware. Los eventos PnP se pueden usar para realizar un seguimiento de los cambios en el hardware del sistema. En el evento se incluye una lista de id. de proveedores de hardware.

Windows Server 2016 se integra fácilmente con los sistemas de administración de eventos de incidentes de seguridad (SIEM), como Microsoft Operations Management Suite (OMS), que pueden incorporar la información en informes de inteligencia sobre posibles infracciones. La profundidad de la información proporcionada por la auditoría mejorada permite a los equipos de seguridad identificar y responder a posibles infracciones con mayor rapidez y eficacia.

Virtualización segura

Hoy en día, las empresas virtualizan todo lo que pueden, desde SQL Server a SharePoint, pasando por los controladores de dominio de Active Directory. Las máquinas virtuales (VM) simplemente facilitan la implementación, administración, servicio y automatización de la infraestructura. Pero cuando se trata de seguridad, los tejidos de virtualización comprometidos se han convertido en un nuevo vector de ataque contra el que es difícil defenderse... hasta ahora. Desde la perspectiva del RGPD, debe pensar en proteger las máquinas virtuales, ya que protegería los servidores físicos, incluido el uso de la tecnología TPM de máquina virtual.

Windows Server 2016 cambia fundamentalmente la forma en que las empresas pueden proteger la virtualización, mediante la inclusión de múltiples tecnologías que le permiten crear máquinas virtuales que se ejecutarán solo en su propio tejido; ayudando a proteger de los dispositivos de almacenamiento, red y host en los que se ejecutan.

Máquinas virtuales blindadas

Las mismas cosas que hacen que las máquinas virtuales sean tan fáciles de migrar, guardar en copias de seguridad y replicar, también las hacen más fáciles de modificar y copiar. Una máquina virtual es solo un archivo, por lo que no está protegido en la red, en el almacenamiento, en las copias de seguridad o en cualquier otro lugar. Otro problema es que los administradores de tejido, ya sean un administrador de almacenamiento o un administrador de red, tienen acceso a todas las máquinas virtuales.

Un administrador comprometido en el tejido puede fácilmente resultar en datos comprometidos en todas las máquinas virtuales. Todo lo que el atacante debe hacer es usar las credenciales comprometidas para copiar los archivos de la máquina virtual que quiera en una unidad USB y sacarla de la organización, donde se puede acceder a esos archivos de la máquina virtual desde cualquier otro sistema. Si alguna de esas máquinas virtuales robadas fuera un controlador de dominio de Active Directory, por ejemplo, el atacante podría ver fácilmente el contenido y usar técnicas de fuerza bruta fácilmente disponibles para descifrar las contraseñas de la base de datos de Active Directory, lo que en última instancia le daría acceso a todo lo demás dentro de su infraestructura.

Windows Server 2016 introduce las Máquinas virtuales blindadas (VM blindadas) para ayudar a protegerse contra escenarios como el que acabamos de describir. Las máquinas virtuales blindadas incluyen un dispositivo TPM virtual, que permite a las organizaciones aplicar el cifrado de BitLocker a las máquinas virtuales y garantizar que se ejecutan solo en hosts de confianza para ayudar a protegerse contra administradores de almacenamiento, red y host comprometidos. Las máquinas virtuales blindadas se crean usando máquinas virtuales de segunda generación, que son compatibles con el firmware Unified Extensible Firmware Interface (UEFI) y disponen de TPM virtual.

Servicio de protección de host

Junto con las VM blindadas, el Servicio de protección de host es un componente esencial para crear una estructura de virtualización segura. Su trabajo consiste en certificar el estado de un host de Hyper-V antes de permitir que una máquina virtual protegida arranque en ese host o migre a él. Guarda las claves de las máquinas virtuales blindadas y no las liberará hasta que se garantice el estado de seguridad. Hay dos formas de requerir que los hosts Hyper-V atestigüen el Servicio de protección de host.

La primera, y la más segura, es la atestación de confianza de hardware. Esta solución requiere que las máquinas virtuales blindadas se ejecuten en hosts que tengan chips TPM 2.0 y UEFI 2.3.1. Este hardware es necesario para proporcionar la información medida de arranque y de integridad del kernel del sistema operativo requerida por el Servicio de protección de host para garantizar que el host de Hyper-V no ha sido manipulado.

Las organizaciones de TI tienen la alternativa de usar la Atestación de confianza del administrador, que puede ser conveniente si el hardware de TPM 2.0 no está en uso en su organización. Este modelo de certificación es fácil de implementar porque los hosts simplemente se colocan en un grupo de seguridad y el Servicio de protección de host se configura para permitir que las máquinas virtuales protegidas se ejecuten en hosts que sean miembros del grupo de seguridad. Con este método, no hay ninguna medida compleja para asegurarse de que la máquina host no se ha alterado. Sin embargo, elimina la posibilidad de que las máquinas virtuales sin cifrar salgan en unidades USB o de que la máquina virtual se ejecute en un host no autorizado. Esto se debe a que los archivos de máquina virtual no se ejecutarán en ningún equipo distinto de los del grupo designado. Si aún no dispone de hardware TPM 2.0, puede empezar con la Atestación de confianza del administrador y cambiar a la atestación de confianza del hardware cuando actualice su hardware.

Módulo de plataforma segura para máquinas virtuales

Windows Server 2016 es compatible con TPM para máquinas virtuales, lo que le permite admitir tecnologías de seguridad avanzadas como el cifrado de unidad de BitLocker® en máquinas virtuales. Puede habilitar la compatibilidad con TPM en cualquier máquina virtual de Hyper-V de generación 2 usando el administrador de Hyper-V o el cmdlet Enable-VMTPM de Windows PowerShell.

Puede proteger el TPM virtual (vTPM) usando las claves criptográficas locales almacenadas en el host o almacenadas en el Servicio de protección de host. Así, aunque el Servicio de protección de host requiere más infraestructura, también proporciona más protección.

Firewall de red distribuida mediante redes definidas por software

Una forma de mejorar la protección en entornos virtualizados es segmentar la red de forma que permita a las máquinas virtuales comunicarse solo con los sistemas específicos necesarios para funcionar. Por ejemplo, si su aplicación no necesita conectarse a Internet, puede particionarla, eliminando esos sistemas como objetivos de atacantes externos. La red definida por software (SDN) de Windows Server 2016 incluye un firewall de red distribuido que le permite crear dinámicamente las directivas de seguridad que pueden proteger sus aplicaciones de los ataques procedentes de dentro o fuera de una red. Este firewall de red distribuida agrega capas a su seguridad al permitirle aislar sus aplicaciones en la red. Las directivas pueden aplicarse en cualquier punto de su infraestructura de red virtual, aislando el tráfico de máquina virtual a máquina virtual, de máquina virtual a host o de máquina virtual a Internet cuando sea necesario, ya sea para sistemas individuales que puedan haber sido comprometidos o por programación en múltiples subredes. Las funcionalidades de redes definidas por software de Windows Server 2016 también le permiten enrutar o reflejar el tráfico entrante a dispositivos virtuales que no sean de Microsoft. Por ejemplo, podría optar por enviar todo su tráfico de correo electrónico a través de un dispositivo virtual de Barracuda para obtener una protección adicional de filtrado de spam. Esto le permite añadir fácilmente capas de seguridad adicionales tanto localmente como en la nube.

Otras consideraciones de RGPD para servidores

El RGPD incluye requisitos explícitos para la notificación de infracciones cuando se entiende por infracción de los datos personales "una violación de la seguridad que provoque la destrucción, accidental o ilícita, la pérdida, la alteración, la difusión o el acceso no autorizados, de datos personales transmitidos, conservados o tratados de otra forma." Obviamente, no puede empezar a avanzar para cumplir los estrictos requisitos de notificación del RGPD en un plazo de 72 horas si no puede detectar la infracción en primer lugar.

Como se señala en las notas del producto del Centro de seguridad de Windows, Post infracción: Cómo hacer frente a las amenazas avanzadas

"A diferencia de la fase previa a la infracción, la fase posterior a la infracción asume que ya se ha producido una infracción, actuando como registrador de vuelo e investigador de la escena del crimen (CSI). La fase posterior a la infracción proporciona a los equipos de seguridad la información y el conjunto de herramientas necesarios para identificar, investigar y responder a ataques que, de otro modo, permanecerían sin detectar y fuera del radar."

En esta sección veremos cómo Windows Server puede ayudarle a cumplir con sus obligaciones de notificación de infracciones del RGPD. Esto comienza con la comprensión de los datos sobre amenazas subyacentes de que dispone Microsoft y que se recopilan y analizan para su beneficio y cómo, a través de la Protección avanzada frente a amenazas (ATP) de Windows Defender, esos datos pueden ser fundamentales para usted.

Datos de diagnóstico de seguridad detallados

Durante casi dos décadas, Microsoft ha estado convirtiendo las amenazas en inteligencia útil que puede ayudar a fortalecer su plataforma y proteger a los clientes. Hoy en día, con las inmensas ventajas informáticas que ofrece la nube, estamos buscando nuevas formas de usar nuestros motores de análisis enriquecidos impulsados por la inteligencia sobre amenazas para proteger a nuestros clientes.

Al aplicar una combinación de procesos automatizados y manuales, aprendizaje automático y expertos humanos, podemos crear un grafo de seguridad inteligente que aprenda de sí mismo y evolucione en tiempo real, lo que reduce nuestro tiempo colectivo para detectar y responder a nuevos incidentes en nuestros productos.

Microsoft Intelligence Security Graph

El ámbito de la inteligencia sobre amenazas de Microsoft abarca, literalmente, miles de millones de puntos de datos: 35 000 millones de mensajes examinados mensualmente, 1 000 millones de clientes de todos los segmentos empresariales y de consumidores que acceden a más de 200 servicios en la nube, y 14 000 millones de autenticaciones realizadas a diario. Microsoft reúne todos estos datos en su nombre para crear el Gráfico de seguridad inteligente que puede ayudarle a proteger su puerta de entrada de forma dinámica para mantenerse seguro, seguir siendo productivo y cumplir los requisitos del RGPD.

Detección de ataques e investigación forense

Incluso las mejores defensas de punto de conexión pueden sufrir una infracción en algún momento, a medida que los ciberataques se vuelven más sofisticados y selectivos. Se pueden usar dos funcionalidades para ayudar en la detección de posibles infracciones: Protección contra amenazas avanzada (ATP) de Windows Defender y Microsoft Advanced Threat Analytics (ATA).

Protección contra amenazas avanzada (ATP) de Windows Defender le ayuda a detectar, investigar y responder a ataques avanzados e infracciones de datos en sus redes. Los tipos de infracción de datos contra los que el RGPD espera que usted se proteja mediante medidas técnicas de seguridad para garantizar la confidencialidad, integridad y disponibilidad permanentes de los datos personales y los sistemas de tratamiento.

Entre las principales ventajas de ATP de Windows Defender se encuentran las siguientes:

  • Detectar lo indetectable. Sensores integrados en lo más profundo del kernel del sistema operativo, expertos en seguridad de Windows y ópticas únicas de más de 1 000 millones de máquinas y señales de todos los servicios de Microsoft.

  • Integrado, no atrincherado. Sin agente, con un alto rendimiento y un impacto mínimo, con tecnología en la nube; administración sencilla sin implementación.

  • Panel único para la seguridad de Windows. Explore 6 meses de eventos de seguridad enriquecidos y unificados de ATP de Windows Defender, Antivirus de Windows Defender y Device Guard de Windows Defender.

  • Potencia del gráfico de Microsoft. Aprovecha el Gráfico de seguridad de Microsoft Intelligence para integrar la detección y exploración con la suscripción a Office 365 ATP, con el fin de rastrear y responder a los ataques.

Más información en Novedades de la versión preliminar de Creators Update de ATP de Windows Defender.

ATA es un producto local que ayuda a detectar el riesgo de identidad en una organización. ATA puede capturar y analizar el tráfico de red para los protocolos de autenticación, autorización y recopilación de información (como Kerberos, DNS, RPC, NTLM y otros protocolos). ATA usa estos datos para construir un perfil de comportamiento sobre los usuarios y otras entidades de una red, de modo que pueda detectar anomalías y patrones de ataque conocidos. En la tabla siguiente se enumeran los tipos de ataque detectados por ATA.

Tipo de ataque Descripción
Ataques malintencionados Estos ataques se detectan buscando ataques de una lista conocida de tipos de ataque, entre los que se incluyen:
  • Pass-the-Ticket (PtT)
  • Pass-the-Hash (PtH)
  • Overpass-the-Hash
  • PAC falsificado (MS14-068)
  • Golden ticket
  • Replicaciones malintencionadas
  • Reconocimiento
  • Fuerza bruta
  • Ejecución remota
Para obtener una lista completa de los ataques malintencionados que se pueden detectar y su descripción, consulte ¿Qué actividades sospechosas puede detectar ATA?.
Comportamiento anómalo Estos ataques se detectan mediante el análisis del comportamiento y usan el aprendizaje automático para identificar actividades cuestionables, entre ellas:
  • Inicios de sesión anómalos
  • Amenazas desconocidas
  • Uso compartido de contraseña
  • Desplazamiento lateral
Problemas de seguridad y riesgos Estos ataques se detectan examinando la configuración actual de la red y del sistema, entre los que se incluyen:
  • Confianza rota
  • Protocolos débiles
  • Vulnerabilidades conocidas de protocolos

Puede usar ATA para ayudar a detectar atacantes que intentan poner en peligro identidades con privilegios. Para más información sobre la implementación de ATA, consulte los temas Planificar, Diseñar e Implementar en la documentación sobre Análisis avanzado de amenazas.

Declinación de responsabilidades

Este artículo es un comentario sobre el RGPD, tal y como lo interpreta Microsoft, en la fecha de su publicación. Hemos dedicado mucho tiempo al RGPD y nos gusta pensar que hemos reflexionado sobre su intención y significado. Pero la aplicación del RGPD depende en gran medida de los hechos, y no todos los aspectos e interpretaciones del RGPD están bien establecidos.

Como resultado, este artículo se proporciona solo con fines informativos y no debe ser considerado como asesoramiento jurídico o para determinar cómo el RGPD podría aplicarse a usted y a su organización. Le animamos a que trabaje con un profesional legalmente cualificado para discutir el RGPD, cómo se aplica específicamente a su organización y cuál es la mejor manera de garantizar su cumplimiento.

MICROSOFT NO OFRECE NINGUNA GARANTÍA, EXPRESA, IMPLÍCITA O ESTATUTARIA, SOBRE LA INFORMACIÓN CONTENIDA EN ESTE ARTÍCULO. Este artículo se proporciona "tal cual". La información y las opiniones expresadas en este artículo, incluidas las direcciones URL y otras referencias a sitios web de Internet, pueden sufrir cambios sin previo aviso.

Este artículo no le proporciona derechos legales sobre ninguna propiedad intelectual en ningún producto de Microsoft. Puede copiar y usar este artículo solo para fines internos y de referencia.

Publicado en septiembre de 2017
Versión 1.0
© 2017 Microsoft. Todos los derechos reservados.