Hasta ahora hemos centrado la atención en Windows Hello, funcionalidad de Windows 10 que soporta reconocimiento fácil y de huella digital que, sin duda, es un gran avance en la eliminación de contraseñas.

Sin embargo, Device Guard y Credential Guard, disponibles sólo en Windows 10 en sus versiones para empresa y educación, son dos nuevas funciones de seguridad integral que ofrece Windows 10 para proteger el núcleo de kernel frente al malware y prevenir que cualquier atacante pueda tomar el control de la máquina.

Device Guard usa la nueva seguridad basada en virtualización en Windows 10 para permite solo a las aplicaciones autorizadas correr en el dispositivo. Por su parte, Credential Guard protege las identidades al aislarlas in un entorno virtual basado en hardware. Microsoft aísla los servicios más críticos de Windows en una máquina virtual que bloquea cualquier acceso externo al kernel o a otros procesos muy sensibles. Las dos funciones se basan en la misma tecnología de hipervisor ya utilizada en Hyper-V.

Combina hardware y software para bloquear la máquina para que solo pueda correr aplicaciones seguras que lleven firma criptográfica válida, de proveedores de software externos o de la propia Micrososft, si la aplicación procede de su tienda Windows Store.

Aunque hay excepciones, la mayoría del malware no está firmado, por lo que la política de firmas de Device Guard bloqueará muchos ataques potenciales.

Por su parte, Guard Credentials aborda un aspecto clave en la seguridad corporativa, almacenando las credenciales de dominios dentro de un contenedor virtual, lejos del kernel y del sistema operativo del usuario. De esta forma, si la máquina se ve comprometida, las credenciales no quedan a disposición del atacante.