El arranque seguro es una herramienta de seguridad informática que solo permite que se ejecuten programas validados al iniciar el pc. Este protocolo garantiza que los programas no autorizados, específicamente los rootkits maliciosos, no se ejecuten al iniciar la computadora para eludir la detección del software antivirus. Esta característica es obligatoria para instalar los sistemas operativos más recientes, Windows 11, ya que es parte de UEFI (Interfaz de firmware extensible unificada) o requisito previo del BIOS para la instalación de Windows 11. No es un requisito para versiones anteriores de Windows, como Windows 10 IoT 2021 LTSC , pero es necesario para aplicaciones empresariales industriales.
¿Cómo Funciona El Arranque Seguro?
Dado que el Arranque seguro es un protocolo dentro del BIOS UEFI, funciona en cada inicio del pc. Esto funciona de la mano con el TPM (Trusted Platform Module) que también es un requisito previo para la instalación de Windows 11. En resumen, TPM 2.0 es una herramienta de seguridad basada en hardware que brinda protección de datos adicional donde la seguridad basada en software no tiene las capacidades para hacerlo. Este proceso evita que una computadora arranque si el hardware ha sido alterado y si se ejecutan programas no autorizados, como software malicioso.
El arranque seguro es otra capa de seguridad y protección de datos que garantiza que solo se inicien programas certificados y firmados digitalmente. Hay tres bases de datos principales que vamos a ver, y son la base de datos de firmas (DB), la base de datos de firmas revocadas (DBX) y la base de datos de registro de claves (KEK).
Base de datos de firmas (DB): la base de datos de firmas contiene las claves públicas y los certificados de componentes de firmware confiables, cargadores de arranque del sistema operativo, como el cargador del sistema operativo de Microsoft, aplicaciones UEFI y controladores UEFI.
Base de datos de firmas revocadas (DBX): la base de datos de firmas revocadas contiene hashes de componentes maliciosos y vulnerables, claves comprometidas y certificados comprometidos, lo que impide que se ejecuten para proteger su sistema.
Clave de plataforma (PK): la clave de plataforma establece una relación de confianza entre el propietario del sistema y el firmware en el BIOS, controlando el acceso a la base de datos KEK.
Clave de intercambio de claves (KEK): la clave de intercambio de claves es una base de datos que establece una relación de confianza entre el sistema operativo y el firmware. La KEK contiene una lista de claves públicas que se pueden verificar al modificar la base de datos de la lista blanca o la base de datos de firmas revocadas. Una sola plataforma puede tener varias KEK.
¿Por Qué Es Útil Para Aplicaciones De Borde Industrial?
Con el mundo viendo un aumento en los ataques cibernéticos, es crucial que las empresas tomen todas las precauciones posibles para disuadir y evitar que se manipulen sus valiosos datos. Empresas de primer nivel como Microsoft, AMD e Intel han desarrollado sus propios métodos para mejorar la protección contra el malware. Microsoft lanzó Windows 11 con TPM 2.0 y requisitos de arranque seguro, y los gigantes líderes en semiconductores, Intel y AMD, han desarrollado sus versiones de firmware TPM (fTPM) .
TPM se considera un componente heredado que fue utilizado principalmente por empresas que operaban con datos confidenciales. Hoy en día, el TPM 2.0 está incluido y es casi obligatorio para las computadoras de borde industrial debido a este aumento de los ciberataques.
¿Cuál Es La Diferencia Entre Arranque Seguro Y TPM 2.0?
El arranque seguro es una función de medida previa simple que se habilita a través de UEFI BIOS. La función del arranque seguro es permitir que solo se inicie el software validado y firmado digitalmente. Por ejemplo, el sistema operativo correspondiente y otras aplicaciones de inicio como programas antimalware.
Sin embargo, TPM 2.0 actúa como una bóveda que almacena y cifra los certificados y las claves digitales sensibles a los datos que se necesitan para iniciar el sistema. Si el TPM detecta un disco duro nuevo o la licencia del sistema operativo incorrecta, entonces no permitirá que la computadora arranque más. Con Secure Boot, actúa como un punto de control de seguridad donde solo dará acceso a programas de inicio validados.
¿Cómo Habilitar El Arranque Seguro Para Windows 11?
Primero, verifiquemos si el arranque seguro ya está habilitado. Busque ‘msinfo32’ en el menú de búsqueda de Windows, luego busque el elemento ‘Estado de arranque seguro’. Si dice ON, entonces el arranque seguro ya está habilitado. Si está etiquetado como APAGADO, entonces se puede habilitar en el BIOS UEFI. Consulte el manual de su placa base para navegar a través del UEFI BIOS para habilitar el Arranque seguro. Una vez más, compruebe si el arranque seguro está habilitado. Si es necesario deshabilitar el Arranque seguro, simplemente ingrese al UEFI BIOS y deshabilite el Arranque seguro. Se recomienda encarecidamente dejar habilitado el Arranque seguro. Ya que tiene poco o ningún efecto sobre el rendimiento o la compatibilidad, pero no es obligatorio deshabilitar el Arranque seguro. Si el usuario final no descarga un virus rootkit ni ningún programa malicioso, el Arranque seguro no es necesario para el uso de la computadora.
