Windows 7 + Windows Server 2008 R2: una combinación segura (parte I)

Los sistemas operativos Windows Server 2008 R2 y Windows 7 fueron diseñados para brindar un óptimo nivel de seguridad cuando se los usa en forma conjunta. Por ejemplo, con DirectAccess, los usuarios pueden establecer una conexión remota sin necesidad de una VPN, y con Remote Workspace, Presentation Virtualization y Remote Desktop Gateway, los usuarios pueden acceder a sus escritorios corporativos desde cualquier lugar.

En esta nota veremos el conjunto de características que hace que la combinación de los sistemas operativos Windows Server 2008 R2 y Windows 7 constituyan la mejor combinación posible a la hora de mejorar la seguridad en las redes basadas en Windows. Con el énfasis que Microsoft está poniendo en la computación confiable, cada edición de los sistemas operativos clientes y servidores se vuelve más segura que la anterior. Windows Server 2008, más específicamente su última versión –R2–, provee a los administradores de IT numerosos mecanismos incorporados de seguridad. Sin embargo, asegurar el Server es sólo la mitad de la batalla. Las máquinas cliente a menudo son objeto de exploits, especialmente en el mundo móvil de hoy en día, en el que los usuarios se conectan desde equipos portátiles que no siempre están bajo el control absoluto del departamento de IT. Si una organización necesita un alto nivel de seguridad, debería planificarse un despliegue de Windows 7 en combinación con Windows Server 2008 R2 tan pronto como la versión final del sistema operativo cliente esté disponible. A continuación se mencionan las principales características de seguridad que podrán aprovecharse al combinar esos dos sistemas operativos. DirectAccess La solución más común al problema de los usuarios remotos en las empresas es la implementación de un servidor de VPN. Una red privada virtual (VPN) provee un “túnel” seguro y encriptado tendido a través de Internet. ¿Cuál es el problema con las VPNs? Que presentan una capa de complejidad adicional para el usuario final, dificultándole su uso. En algunos casos, se debe instalar software especial en la máquina cliente. Y en todos los casos, el usuario debe establecer la conexión VPN en cada sesión. Además, debe lidiar con credenciales o tarjetas inteligentes. Algunas veces la conexión no se puede establecer; otras veces se cae y debe restablecerse. DirectAccess (DA) elimina la mayor parte de las complicaciones de las VPNs al autenticar al usuario por única vez y hacer que la conexión sea automática sin por ello sacrificar la seguridad. La tecnología soporta autenticación de dos factores para que puedan usarse tarjetas inteligentes o métodos biométricos para loguearse a la red. DA puede autenticar tanto a la computadora como al usuario. Dos túneles IPsec son creados por DA: uno utiliza sólo un certificado de computadora, lo que da a la máquina acceso al servidor DNS y al controlador de dominio para descargar las directivas de grupo y requerir autenticación de usuario, y otro túnel que transmite tanto un certificado de computadora como de usuario, dando al usuario acceso a los recursos internos de la compañía y a los servidores de aplicaciones. Las sesiones de DirectAccess pueden encriptarse entre el cliente y el servidor de DA o de IPsec, o bien pueden encriptarse de punta a punta, hasta alcanzar el servidor de aplicaciones (al estilo de lo que hace el Exchange Server). El inconveniente de esta alternativa es que, para la encriptación de punta a punta, los servidores de aplicaciones deben correr Windows Server 2008 ó 2008 R2, y deben configurarse para usar IPv6 e IPsec. DirectAccess usa IPv6 (la nueva generación de Internet Protocol) junto con IPsec (3DES, AES) para encriptar información que se envía a través de Internet. Pero eso no significa que se deba contar con una red IPv6 para usar DA, puesto que también incluye tecnologías de transición IPv6/IPv4. Windows 7 y Windows Server 2008 R2 soportan un nuevo protocolo llamado IP-HTTPS por el cual los paquetes IPv6 pueden enviarse por el túnel de una sesión HTTPS de IPv4. Esto hace posible que las computadoras que están detrás de un Proxy web o un firewall se conecten sin problemas. Al igual que con las VPNs, puede usarse Network Access Protection (NAP) para asegurar que las computadoras cuenten con sus actualizaciones de seguridad, antivirus, etc., antes de que se conecten a la red de la compañía. Otra ventaja de DirectAccess es que le da el poder al administrador de IT para controlar sistemas remotos aún cuando no estén conectados a una VPN. Pueden aplicarse nuevas directivas de grupo o distribuir actualizaciones de software en cualquier momento en que la computadora remota esté conectada a Internet; aún si el usuario no está logueado. Esto facilita que las computadoras remotas se ajusten a las políticas de la compañía en una forma más efectiva. Adicionalmente, puede especificarse qué recursos de la intranet podrá acceder cada usuario en particular. En la segunda parte de este tutorial veremos el resto de las herramientas de seguridad que Windows 7 y Windows Server 2008 R2 ponen a disposición de los administradores de sistemas, incluyendo a RemoteApp, AppLocker y las mejoras de BitLocker.