domingo, 12 de julio de 2009

Windows 7 + Windows Server 2008 R2: una combinación segura (parte II)

En la primera entrega de este tutorial vimos los detalles de DirectAccess como parte de las ventajas que ofrece la combinación de Windows 7 y Windows Server 2008 R2 en cuestiones de seguridad. En esta segunda parte, veremos los principales aspectos de RemoteApp, AppLocker y las mejoras de BitLocker.
RemoteApp es una implementación de Remote Desktop Services mediante la cual las aplicaciones aparentan estar corriendo en la computadora local del usuario, cuando en realidad están corriendo en un servidor de Remote Desktop. Esta es una forma de presentación virtualizada. La diferencia con respecto a la experiencia tradicional de Terminal Services está en que, en lugar de compartir la totalidad del escritorio a través del Terminal Server, ahora las aplicaciones individuales pueden compartirse de esa manera, en forma transparente para el usuario.

RemoteApp fue presentado con Windows Server 2008. Windows 7 aporta conexiones de RemoteApp & Desktop (RAD), lo cual provee una mayor integración entre el escritorio del equipo local y las aplicaciones virtualizadas.

Con RemoteApp & Desktop Connections, los administradores pueden poner fácilmente a disposición de los usuarios los programas y escritorios virtuales de RemoteApp en máquinas cliente con Windows 7; estos recursos aparecerán en el menú Inicio del equipo local como si fueran recursos locales.

¿Cuál es la ventaja de seguridad? Las aplicaciones virtualizadas pueden controlarse en forma más eficiente por parte de los administradores de IT. No es necesario preocuparse de que las actualizaciones correctas se apliquen a cientos de instancias de una aplicación instaladas en equipos individuales, con lo cual se evita el riesgo de seguridad asociado al hecho de que algunas máquinas ejecuten versiones no actualizadas de las aplicaciones.

Remote Desktop (RD) Gateway es el reemplazo de Terminal Services Gateway, y es un rol de Windows Server 2008 R2 en sus ediciones Standard, Enterprise y Datacenter, a través del cual los usuarios pueden acceder a servidores de escritorio remoto u otras computadoras con Remote Desktop habilitado. Se basa en RDP sobre HTTPS para crear conexiones seguras y encriptadas a través de Internet. Un RD Gateway de Windows Server 2008 R2 también soporta una opción mediante la cual se puede restringir a ciertos clientes de escritorio remoto para que se conecten sólo a servidores que utilizan redirección segura de dispositivos. Esto ayuda a evitar que el software malicioso en un equipo cliente pase por alto las políticas de seguridad.

La última versión del protocolo RDP (RDP v7) que corre en Windows Server 2008 R2 y Windows 7 también provee rendering de gráficos y mejoras multimedia que hacen a una experiencia superior en el uso de escritorio remoto. Por ejemplo, ahora incluye soporte para los efectos de Aero glass, para DirectShow y se ofrece un mejor soporte para múltiples monitores.

AppLocker
AppLocker es una nueva característica de Windows 7 y Windows Server 2008 R2 que reemplaza a las directivas de restricción de software que solían ser difíciles de usar y limitadas en cuanto a su alcance. AppLocker ofrece mayor flexibilidad, y sus reglas son más difíciles de burlar. AppLocker permite crear reglas para controlar qué archivos se pueden ejecutar, y asignar esas reglas a usuarios o grupos específicos.

Las reglas pueden basarse en atributos de los archivos, tales como nombre del desarrollador, nombre del producto, nombre del archivo y versión de archivo, todos los cuales están contenidos en la firma digital. También pueden restringirse los programas en base a la ruta de acceso o mediante un hash critpográfico que identifica a los programas que se desea permitir que corran.

En forma predeterminada, AppLocker se configura para denegar todos los archivos excepto aquellos que están explícitamente permitidos.

Mejoras en BitLocker
La encriptación de discos mediante BitLocker apareció junto con Windows Vista como una funcionalidad muy útil especialmente en equipos móviles, pero su aplicabilidad estaba limitada, debido a que sólo podía encriptar la partición de sistema. Con Windows Server 2008 y Vista SP1, se incorporó la posibilidad de encriptar particiones adicionales. Ahora con Server 2008 R2 y Windows 7, BitLocker puede usarse para encriptar unidades removibles. Al volverse tan populares las unidades USB, ésta es una mejora de seguridad muy bienvenida, dado que la amenaza de seguridad presentada por un empleado que coloca datos corporativos en una unidad removible (por ejemplo, para llevarse trabajo a casa) es muy real. La portabilidad del almacenamiento es una ventaja pero un riesgo por el hecho de que la información pueda perderse o robarse.

Ahora, con la nueva funcionalidad BitLocker To Go en Windows Server 2008 R2 y Windows 7, los administradores de IT pueden usar directivas de grupo para forzar a los usuarios a habilitar BitLocker en unidades removibles antes de que puedan grabar información en ellos, haciéndolos mucho más seguros. La clave de recuperación puede almacenarse en el Active Directory. También pueden bloquearse los usuarios que conecten unidades USB no encriptadas a sus computadoras.

Resumen
Cada versión del sistema operativo Windows agrega nuevas mejoras de seguridad por sobre sus antecesores. La actual culminación de ese foco es Windows Server 2008 R2 y el inminente cliente Windows 7. A diferencia de las versiones previas de Windows (cliente), las pruebas beta de Windows 7 han demostrado que es notablemente estable y seguro, por lo que las organizaciones (especialmente aquellas que se saltearon la actualización a Vista y siguen usando Windows XP) deben considerar la implementación de esta combinación de sistemas operativos a la brevedad.

No hay comentarios: