La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 2
Capitulo 1: Fundamentos Windows Vista
1.1 ¿Qué es Windows Vista?
Windows Vista es uno de los sistemas operativos desarrollada por Microsoft para
ser usada en computadoras de escritorio, portátiles, Tablet PC y centros
multimedia. Antes de ser anunciado oficialmente el 22 de julio de 2003 su
nombre en código fue "Longhorn".
El proceso de desarrollo terminó el 8 de noviembre de 2006 y en los siguientes
tres meses fue entregado a los fabricantes de hardware y software, clientes de
negocios y canales de distribución. El 30 de enero de 2007 fue lanzado
mundialmente y fue puesto a disposición para ser comprado y descargado desde
el sitio web de Microsoft.
La aparición de Windows Vista viene más de 5 años después de la introducción
de su predecesor, Windows XP, es decir el tiempo más largo entre dos versiones
consecutivas de Microsoft Windows. La campaña de lanzamiento fue incluso
más costosa que la de Windows 95, ocurrido el 25 de agosto de 1995, debido a
que incluye además a otros productos como Microsoft Office 2007, y Exchange
Server 2007. Actualmente Windows Vista ya tiene predecesor, llamado Windows
7.
1.2 Historia de Desarrollo
La compañía Microsoft comenzó a trabajar en los planes de desarrollo de
Windows Vista (también denominado "Longhorn") en 2001, antes de la
introducción de Windows XP. Inicialmente estaba previsto para ser lanzado a
finales de 2003 como un paso menor entre Windows XP (nombre en código
"Whistler") y "Blackcomb" (ahora conocido como Windows 7). Muchos de los
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 3
desarrolladores de Microsoft también se centraban en la tarea de mejorar la
seguridad de Windows XP. El original "Longhorn", basado en el código fuente de
Windows XP, fue desechado, y el desarrollo de Vista comenzó de nuevo,
basándose en el código de Windows Server 2003, incorporándose sólo las
características requeridas para su publicación. En septiembre de 2005, Microsoft
empezó a difundir ordinariamente el Community Technology Previews (CTP) a
los probadores betas. Sin embargo, el 8 de noviembre de 2006 Microsoft
anunció la finalización de Windows Vista, llegando a su fin el proyecto de
desarrollo de sistema operativo más largo por parte de dicha empresa.
1.3 Características de Windows Vista
Windows Vista contiene nuevas herramientas que lo hace muy diferente con lo
que fué Windows Xp, para ello mencionaremos algunas características:
Windows Aero: La nueva interfaz gráfica incluida en Windows Vista que
sustituye a la Interfaz gráfica Luna utilizada en Windows XP. Ésta, junto
con Avalon e Indigo, son los pilares de Windows Vista.
Un sistema unificado de comunicaciones llamado Windows Comunication
Foundation, cuyo nombre en código es Indigo.
Un sistema antispyware denominado Windows Defender.
Añade al firewall de sistema la capacidad de bloquear conexiones que
salen del sistema sin previa autorización.
Windows Mail, es un cliente de correo electrónico, reemplazando a
Outlook Express.
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 4
Se incluye Windows ReadyBoost que es una tecnología de cache de
disco incluida por primera vez en el sistema operativo Windows Vista.
User Account Control (Control de cuenta de usuario): al contrario de las
anteriores versiones de Windows los nuevos usuarios de Windows Vista
no tienen derechos de administrador por defecto. Windows Dreamscene,
único en la versión Windows Vista Ultimate, consiste en un wallpaper
dinámico basado en un video. Se descarga por el Update del propio
Sistema Operativo.
Incorpora un sistema de protección llamado Windows Software Protection
Platform (WSPP) que es más potente que el actual Windows Genuine
Advantage (WGA). Carga aplicaciones un 15% más rápido que Windows
XP gracias a la característica SuperFetch.
1.3 Ediciones de Windows Vista
Para el día 26 de febrero de 2006, la compañía Microsoft anunció que la
próxima versión del nuevo Windows incluiría 6 ediciones. Todas las versiones
están disponibles para arquitecturas (procesadores) de 32 y 64 bits, a excepción
de Microsoft Windows Vista Starter Edition, que sólo estará disponible en 32 bits,
ya que es una edición de menores prestaciones.
Microsoft Windows Vista Starter Edition
Microsoft Windows Vista Home Basic
Microsoft Windows Vista Home Premium
Microsoft Windows Vista Business
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 5
Microsoft Windows Vista Enterprise
Microsoft Windows Vista Ultimate
1.4 Requisitos de hardware para el Windows Vista
Para instalar Windows Vista debemos tener en cuenta el hardware del equipo
que se desea instalar, para ello identificamos los requerimientos básicos y
recomendados:
Los requisitos básicos de hardware para el funcionamiento del
sistema operativo Windows Vista:
o Procesador: => 800 Mhz, Memoria RAM: => 512 MB.
o Tarjeta gráfica: => 64 MB | Compatible con DirectX 9.
o Espacio: 15 GB de espacio libre en el disco duro.
Requisitos recomendados de hardware para el funcionamiento del
sistema operativo Windows Vista:
o Procesador: 1 GHz 32-bit (x86) o 64-bit (x64)
o Memoria RAM: 1 GB.
o Tarjeta gráfica: Compatible con Aero | 256 MB. Espacio: 40
GB de disco duro con 15 GB libres.
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 6
Capitulo 2: Descubrir y Explorar
2.1 Migrando a Windows Vista
Parece que fue la semana pasada cuando finalmente Windows XP estuvo
optimizado y seguro en su organización y ahora ya está pensando en que tendrá
que pasar de nuevo por todo ese sufrimiento con Windows Vista. Algunas
fuentes confiables como los blogs acerca de los controladores que faltan, la
compatibilidad de aplicaciones y los nuevos procesos de administración, ¿por
qué no se queda simplemente con lo que ya está probado y es eficaz?
El hecho es que no todos los días hay actualizaciones importantes del sistema
operativo y en la medida en que ocurren es casi seguro que en algún momento
algunas organizaciones iniciarán el proceso de adopción. La pregunta es cuándo
es el momento adecuado para empezar y a qué velocidad conviene avanzar.
Hay mucha información, a menudo errónea, acerca de Windows Vista en
entornos de TI administrados, se pretende aclarar conceptos erróneos y ofrecer
una evaluación honesta y franca de los desafíos y las ventajas de Windows Vista
para usted como profesional de TI.
Cuando los primeros usuarios empiezan la experiencia, la conclusión es la
siguiente: Windows Vista representa una mejora importante para los
profesionales de TI que administran un entorno de equipos de escritorio y, a
pesar de los desafíos, vale la pena invertir tiempo para obtener información
acerca de Windows Vista desde la perspectiva de administración de TI, porque:
Ahora, muchas organizaciones han implementado correctamente
Windows Vista.
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 7
Windows Vista aporta más control para mantener en funcionamiento
equipos de escritorio.
Windows Vista y el ecosistema están preparados para empezar con el
proceso de adopción.
La orientación y las herramientas disponibles hacen que la migración sea
más fácil de lo que piensa.
Cuando los primeros usuarios empiezan la experiencia de conocer a Windows
Vista, se ve una mejora importante para los profesionales de TI que administran
un entorno de equipos de escritorio y, a pesar de los desafíos, vale la pena
invertir tiempo para obtener información acerca de Windows Vista desde la
perspectiva de administración de TI, porque:
Ahora, muchas organizaciones han implementado correctamente
Windows Vista.
Windows Vista aporta más control para mantener en funcionamiento
equipos de escritorio.
Windows Vista y el ecosistema están preparados para empezar con el
proceso de adopción.
La orientación y las herramientas disponibles hacen que la migración sea
más fácil de lo que piensa.
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 8
¿Por qué es importante?
Al principio, la mayoría experimentará con Windows Vista desde la perspectiva
de un usuario final. Es cierto, hay mejoras en el diseño visual, en la búsqueda
integrada y en la interfaz de usuario, pero hay muchas razones entre bastidores
para pasarse a Windows Vista. La capacidad de controlar rigurosamente la
configuración del equipo, la arquitectura de seguridad mejorada, la capacidad de
reducir el número de imágenes que se crean y deben mantenerse y las
propiedades de recuperación automáticas. Todo ello combinado da como
resultado que el trabajo de administrar equipos de Windows Vista sea mejor y
más fácil que con Windows XP.
2.1.1 Migración de Sistemas Operativos
Migrar a un sistema operativo abarca todos los aspectos del entorno del equipo y
es, por lo tanto, una tarea compleja. No es de extrañar que la opción más segura
parezca ser la de retrasar la cuestión tanto como sea posible. Por un lado,
cuanto más se retrase la implementación de un nuevo sistema operativo, más
maduro estará el ecosistema y la mayor parte de los problemas de
compatibilidad y preparación habrán quedado resueltos. Por lo tanto, la mejor
táctica es la de postergar el sufrimiento y enfrentarse a él lo más tarde posible.
Si es cierto que al implementar Windows Vista en una etapa temprana uno se
encontrará con más problemas que si se opta por esperar, también lo es que a
largo plazo las ventajas de acelerar el proceso pesan más que el sufrimiento
añadido. No sólo se trata de llegar antes al "paraíso" donde podrá aprovechar las
ventajas con relación a Windows XP; también evitará toda una serie de
problemas y alcanzará una mejor posición en su empresa si empieza el proceso
lo antes posible.
Los usuarios de nivel superior acostumbran a introducir Windows Vista en
el entorno con un fin en particular. Se desdaría poder contar cualquier
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 9
problema que surja, y mantener una ventaja en la organización en lo que
a conocimientos se refiere es importante. Una organización de TI que va
por delante incluso de sus usuarios más avanzados infunde respeto y
hace que resulte más fácil acumular recursos.
Windows Vista tiene determinadas ventajas de administración y
seguridad aprovechadas si tiene entornos que pueden sacar partido de la
capacidad de bloqueo o si cuenta con muchos usuarios móviles con
información confidencial fundamental en sus equipos portátiles.
Windows Vista está ahí, de modo que antes de que se introduzca en su
infraestructura, es conveniente entender Windows Vista como "nodo
administrado" para poder llevar la delantera respecto a los problemas que
quizá surjan.
Como primera actualización importante en cinco años, la migración de
Windows Vista es algo previsible en un entorno Windows. Cuanto antes
empiece a familiarizarse con Windows Vista, más preparado estará si la
conversión viene impulsada por nuevos requisitos empresariales o por
orden del director de TI.
Entender Windows Vista como "nodo administrado" es diferente de hacerlo como
usuario final. Es, por lo tanto, importante familiarizarse con Windows Vista en un
entorno de laboratorio y empezar a conocer las herramientas de pruebas e
implementación lo antes posible para que la adopción en la infraestructura
(intencional o involuntaria) no resulte perjudicial para el trabajo o los procesos de
administración.
La compatibilidad de las aplicaciones puede ser un desafío con Windows Vista.
Aunque hay varias herramientas y técnicas para entender y mitigar la
compatibilidad de aplicaciones y los conflictos entre ellas, esto representará
probablemente el aspecto más desafiante de la migración a Windows Vista.
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 10
Windows Vista representa un cambio considerable en la base de código
subyacente. Los cambios se hicieron fundamentalmente por razones de
peso en torno a la seguridad y a la capacidad de administración a gran
escala, pero consecuentemente muchas aplicaciones necesitaron
modificarse para funcionar apropiadamente.
Algunos proveedores de software han sido lentos a la hora de actualizar
sus aplicaciones para que funcionen con Windows Vista, de modo que
para los profesionales de TI puede ser un desafío la necesidad de
garantizar que el conjunto de aplicaciones empresariales y utilidades
claves funcionen correctamente.
Al afectar a tantas aplicaciones, una simple prueba de la compatibilidad y
los conflictos de ese conjunto puede ser una tarea ardua, siempre en
función del número de aplicaciones para las que el grupo de TI ofrece
soporte.
Windows Vista tiene altas demandas en cuanto a la capacidad del hardware. Los
PCs y los equipos portátiles de más de un par de años de antigüedad
probablemente no sean buenos candidatos para la migración a Windows Vista.
En ese caso, es preferible esperar a que el activo se retire e introducir Windows
Vista en el ciclo de actualización.
Windows Vista se ha diseñado para aprovechar los avances en las
tecnologías de procesamiento y visualización, pero es posible que los
equipos más antiguos presenten problemas de rendimiento.
Algunos fabricantes de hardware se lo han pensado mucho antes de
desarrollar controladores de dispositivos actualizados para Windows
Vista, de modo que garantizar que los dispositivos funcionen
adecuadamente requiere un esfuerzo adicional y, a veces, supone
demoras.
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 11
Windows Vista representa un cambio respecto al modo de administrar la
infraestructura de equipos.
Windows Vista fue diseñado para facilitar la implementación y
administración a los profesionales de TI, pero esto trae consigo algunos
cambios en los procesos de administración, especialmente en torno a la
directiva de grupo y la configuración de seguridad. El resultado final es
mayor control y seguridad, pero será necesario cambiar algunas de las
maneras en que se hacen las cosas.
Windows Vista usa un nuevo formato de imagen basado en archivos, de
modo que la manera de crear, implementar y administrar imágenes
cambiará. La ventaja es que ahora puede tener una única imagen
independiente del hardware y del idioma.
Las imágenes de Windows Vista son mucho más grandes que las de
Windows XP, normalmente 2 GB o más. La capacidad de la red puede
influir en la decisión acerca de cómo implementar Windows Vista en
determinados equipos.
Windows Vista representa un cambio respecto al modo de llevar a cabo algunas
actividades por parte de los usuarios finales.
Será necesario contar con cierto grado de orientación y aprendizaje para
que los usuarios finales puedan realizar sus tareas diarias. Una vez que
se hayan familiarizado con estos procesos más perfeccionados, su
productividad aumentará, pero al principio precisarán orientación.
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 12
2.1.2 Aspectos Clave de Windows Vista para los ITPros
Implementación y administración
Windows Vista incluye características nuevas y actualizadas que facilitan la
administración de equipos cliente en la organización:
La arquitectura modular y un nuevo formato de imágenes basado en
archivos (WIM) permiten crear una única imagen independiente de idioma
y hardware e implementarla en toda la infraestructura. Además, la
creación de imágenes no destructivas permite ahora migrar un equipo a
Windows Vista y conservar sus archivos y configuración.
La configuración ampliada de la directiva de grupo hace que
prácticamente cualquier aspecto de Windows Vista sea configurable de
forma centralizada, lo que ofrece un nivel apropiado de bloqueo y menos
posibilidades de interrupción.
Los informes y el registro de eventos ampliados permiten ver el estado
del sistema informático para evitar o diagnosticar los problemas.
El Programador de tareas mejorado automatiza las tareas rutinarias
administrativas y del sistema y responde a eventos en equipos cliente
activando acciones de respuesta cuando se producen determinados
eventos.
Windows Vista está diseñado para corregir problemas y errores comunes sin la
intervención de TI con lo que ahorra tiempo y esfuerzo a la vez que los usuarios
finales continúan pudiendo trabajar.
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 13
Detecta y resuelve automáticamente muchos problemas conocidos, lo
cual requiere muy poco esfuerzo o ninguno por parte de los usuarios
finales. Resuelve el problema u ofrece una serie de pasos para que el
usuario los siga.
La herramienta de diagnósticos de red de Windows identifica los
principales problemas potenciales que evitan la conectividad de red y
automáticamente lleva a cabo los pasos apropiados para corregirlos.
Los escenarios de diagnóstico integrados registran eventos en el registro
de eventos y ofrecen con ello un registro de los problemas reparados
automáticamente e información detallada acerca de los problemas que no
pueden resolverse de forma automática.
2.1.3 Mejoras para la Administración y despliegue
Control de los desafíos
Si la implementación de Windows Vista se enfoca como una secuencia de
pequeños pasos, el proceso general se simplificará en gran medida y, por
supuesto, parecerá menos agobiante. Antes de empezar, reflexione acerca del
proceso en un nivel alto y familiarícese con la información que necesitará y los
posibles retos que pueden surgir desafíos del potencial en los hitos clave. Ello
ayudará a organizar el esfuerzo y evitar distraerse con una complejidad
innecesaria.
Descubrimiento: en primer lugar, tómese su tiempo para contemplar
Windows Vista desde la perspectiva de la administración de TI. ¿Cuáles
son los cambios que afectarán a su trabajo? ¿Cómo mejorarán o
cambiarán los procesos cotidianos? ¿Cómo afectarán los cambios para
los usuarios finales a sus interacciones?
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 14
Exploración: adéntrese un poco más en los aspectos de administración
de Windows Vista. ¿Cuáles son los procesos para administrar una
infraestructura que consta de equipos con Windows Vista? ¿Cómo se
crean y mantienen las imágenes? ¿Cómo puede usar la directiva de
grupo para controlar de forma más eficaz el entorno? ¿Cómo puede
aprovechar las ventajas de la nueva arquitectura de seguridad para
proteger mejor los equipos, los datos confidenciales y el entorno de TI?
Proyectos piloto: planifique un enfoque metódico para introducir
Windows Vista en su infraestructura. Empiece en el laboratorio con sólo
un par de equipos, después pase a grupos más grandes en una serie de
implementaciones piloto. ¿Cómo funcionan las herramientas en su
entorno? ¿Cómo se comportan los objetos de directiva de grupo? ¿Ha
descubierto nuevos conflictos de aplicaciones que necesiten corrección?
¿Qué actualizaciones de hardware tendrá que hacer antes de la
migración a gran escala?
Lanzamiento: ahora que ha experimentado la implementación de
Windows Vista en varios grupos de usuarios, desarrolle un plan para
lanzarlo en toda la infraestructura. ¿Debe hacerse un lanzamiento por
fases o convertir toda la organización simultáneamente? ¿Qué
preparación y cursos para el usuario final tendrá que coordinar? ¿Cuánto
tardará en consolidar todo en un solo sistema operativo y una única
imagen?
Microsoft ofrece una serie de herramientas y documentos de orientación paso a
paso para ayudarle a enfrentarse a los pasos más importantes de la
implementación: planificación del proceso, evaluación del conjunto de
aplicaciones, evaluación del hardware y ejecución del plan de implementación.
Algunas de las herramientas clave que ofrece Microsoft son:
El Acelerador de solución Microsoft para Business Desktop Deployment
(BDD) 2007 para Windows Vista y 2007 Microsoft Office System (BDD
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 15
2007) proporciona una orientación completa para planificar, crear, probar
e implementar de un modo eficaz Windows Vista y 2007 Office system.
El acelerador ofrece herramientas y prácticas de demostrada eficacia
con las que los profesionales de TI pueden:
o Crear un inventario de software y hardware como ayuda al
planificar la implementación.
o Probar la compatibilidad de las aplicaciones con Windows Vista y
Windows XP Professional y mitigar los problemas de
compatibilidad descubiertos durante el proceso.
o Configurar un entorno inicial de laboratorio con servidores de
implementación y creación de imágenes.
o Personalizar y empaquetar aplicaciones principales y
complementarias.
o Automatizar la creación e implementación de imágenes de
escritorio.
o Asegurarse de que el escritorio se refuerza con el fin de mejorar
la seguridad dentro del entorno.
o Administrar los procesos y las tecnologías para lograr
implementaciones completas e integradas con interacción mínima
(LTI, Lite Touch Installation) y sin interacción cero (ZTI, Zero
Touch Installation).
El Kit de herramientas de compatibilidad de aplicaciones (ACT,
Application Compatibility Toolkit) permite determinar si las aplicaciones
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 16
son compatibles con Windows Vista antes de migrar al nuevo sistema
operativo. ACT también permite determinar cómo afectará una
actualización a la nueva versión a las aplicaciones. Puede usar las
características de ACT para:
o Comprobar la compatibilidad de una aplicación con la nueva
versión del sistema operativo Windows o con Windows Update,
incluida la determinación de la evaluación de riesgos.
o Implicarse en la comunidad ACT, incluido el uso compartido de su
evaluación de riesgos con otros usuarios de ACT. Un buen sitio
para comprobar el grado de preparación de la aplicación es
http://www.appreadiness.com.
o Pruebe la compatibilidad de las aplicaciones web y los sitios web
con nuevas versiones y actualizaciones de seguridad del
explorador Windows Internet Explorer. Application Compatibility
Factory (ACF) es un servicio relacionado disponible a través de
asociados de Microsoft para corregir problemas de aplicaciones.
La herramienta Windows Vista Hardware Assessment (HAT) busca los
equipos de una red y realiza un inventario pormenorizado de los equipos
mediante el Instrumental de administración de Windows (WMI, Windows
Management Instrumentation). Mediante este inventario detallado, la
herramienta valorará e informará si los equipos pueden ejecutar Windows
Vista, dónde encontrar controladores para los dispositivos de los equipos
y ofrecerá recomendaciones para actualizaciones de hardware cuando
corresponda.
Microsoft Desktop Optimization Pack (MDOP) es un conjunto de
herramientas que ayudan a administrar la infraestructura de equipos de
escritorio con mayor eficacia. MDOP está disponible a través del
programa Software Assurance y consta de cuatro módulos: SoftGrid
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 17
Application Virtualization, Advanced Group Policy Manager, Asset
Inventory Service y el Kit de herramientas de diagnóstico y recuperación.
Estas herramientas ayudan a reducir los desafíos de la migración de
sistemas operativos, desde las pruebas reducidas para conflictos entre
aplicaciones (SoftGrid Application Virtualization) hasta la evaluación
completa del inventario de aplicaciones (Asset Inventory Service) y la
configuración de directivas de grupo (Advanced Group Policy Manager).
Para obtener más información acerca de MDOP, consulte
http://www.microsoft.com/windows.
2.1.4 Mejoras de Seguridad
Las defensas por niveles usan una estrategia de prevención, aislamiento y
recuperación frente a amenazas e intrusiones de software malintencionado:
El Control de cuentas de usuario ofrece a los administradores la opción
de restringir los permisos sin impedir con ello la ejecución de la mayor
parte de las aplicaciones. Ello reduce la "superficie de ataque" en cada
equipo y evita otorgar credenciales de administrador a la mayoría de los
usuarios.
El Cifrado de unidad BitLocker protege la información en equipos
portátiles y discos duros para evitar Brechas en la seguridad.
El firewall mejorado ofrece una nueva interfaz de seguridad avanzada
para configurar equipos cliente y parámetros de seguridad del protocolo
de Internet (IPsec), con compatibilidad completa con la directiva de grupo
para configuración y reglas. Junto con Windows Service Hardening, la
nueva arquitectura ofrece defensa en profundidad y restringe la actividad
anómala.
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 18
2.1.5 Lo nuevo en el SP1?
El objetivo del SP1 es responder al principal feedback que Microsoft ha recibido
de sus clientes, sin limitar por ello la compatibilidad de aplicaciones. El SP1
presenta mejoras a las características existentes que impactan
significativamente a los usuarios, pero no brinda nuevas características
sustanciales al sistema operativo. Por ejemplo, el service pack mejora la
performance del shell de escritorio, pero no provee una nueva interfaz de usuario
para búsquedas ni una nueva versión de Windows Media Center.
Las actualizaciones del SP1 se agrupan en tres categorías, descriptas en las
siguientes secciones: mejoras de calidad, incluyendo todas las actualizaciones
lanzadas previamente, que apuntan a la confiabilidad, seguridad y performance;
mejoras a las herramientas de administración, incluyendo a BitLocker Drive
Encryption (BDE), y soporte a nuevo hardware y estándares emergentes, como
por ejemplo Extensible Firmware Interface (EFI) y Extended File Allocation Table
(exFAT).
Mejoras de calidad
Las mejoras de calidad efectuadas al sistema operativo tienen el mayor impacto
en todos los clientes. Es el fundamento de Windows Vista SP1 y apunta a
mejorar la experiencia de usuario en general de Windows Vista.
En primer lugar, el SP1 incluye todas las actualizaciones lanzadas previamente
para Windows Vista. También incluye mejoras de seguridad, confiabilidad y
performance. Tales mejoras cubren algunas de las cuestiones que Microsoft
identificó como las causas más comunes de caídas y cuelgues del sistema
operativo, dando a los usuarios una experiencia más confiable. Estas
actualizaciones también mejoran la performance en escenarios clave; por
ejemplo, cuando se copian archivos o cuando se apaga el equipo.
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 19
Los siguientes párrafos describen varias de las mejoras de seguridad,
confiabilidad y performance que se incluyen en Windows Vista SP1.
Seguridad
Algunas de las mejoras de seguridad que ofrece Windows Vista SP1 son las
siguientes:
Provee a los vendedores de software de seguridad una forma más
segura de comunicarse con el Centro de seguridad de Windows.
Incluye interfaces de programa de aplicación (APIs) que permiten a las
aplicaciones de terceras partes para detección de software malicioso
trabajar con la protección de parches del kernel en versiones x64 de
Windows Vista. Estas APIs ayudan a los ISVs a desarrollar software que
extiende la funcionalidad del kernel de Windows sin deshabilitar o
debilitar la protección ofrecida por la protección de parches del kernel.
Mejora la seguridad al correr programas RemoteApp y escritorios
remotos al permitir que los archivos de Protocolo de Escritorio Remoto
(RDP, por Remote Desktop Protocol) sean firmados. Los usuarios
pueden diferenciar experiencias de usuario en base a la identidad del
publicador.
Agrega un generador de números aleatorios de Criptografía de Curva
Elíptica (ECC, por Elliptical Curve Criptography) a la lista de generadores
de números aleatorios de Windows Vista.
Mejora la funcionalidad de BitLocker Drive Encryption para ofrecer un
método adicional de autenticación multi factor que combina una clave
protegida por la Trusted Platform Module (TPM) con una llave de Startup
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 20
almacenada en un medio de almacenamiento USB y un número de PIN
personal generado por el usuario.
Confiabilidad
Windows Vista SP1 incluye mejoras que apuntan a algunas de las causas más
comunes de caídas y cuelgues del sistema operativo, dando a los usuarios una
experiencia más consistente. Muchas de las mejoras apuntan a cuestiones
identificadas por la herramienta Windows Error Reporting. La siguiente lista
describe algunas de las mejoras de confiabilidad incluidas en el SP1:
Mejoras en la confiabilidad y compatibilidad de Windows Vista cuando se
usa con placas gráficas más nuevas en diversos escenarios y
configuraciones específicos.
Mayor confiabilidad cuando se trabaja con pantallas externas en una
laptop.
Mayor confiabilidad en escenarios de configuración de redes.
Mayor confiabilidad en sistemas que fueron actualizados de Windows XP
a Windows Vista.
2.1.6 Desplegando con el SP1 (Despliegue mejorado)
En las tareas de despliegue, el Service Pack 1 añade soporte a hotpatching, una
tecnología que reduce la necesidad de reinicios y maximiza el uptime, mejora los
procesos de actualización (volviendo a intentar las actualizaciones fallidas
cuando varias de éstas quedan pendientes, evitando que todas queden
anuladas), y se han optimizado los procesos de desinstalaciones ha mejorado el
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 21
uso del Windows Preinstallation Environment (Windows PE) para la transición a
sistemas de 64-bit desde Windows Vista 32-bit, así como el empleo de
particiones ocultas para controladores utilizados durante el arranque.
2.3 Principales razones para actualizar a Microsoft
Windows Vista.
Las principales razones que tenemos para actualizarnos hacia Windows Vista
son las siguientes:
Búsqueda y uso de la información
El éxito de una empresa depende del éxito de su personal. Aumentar la
productividad de los empleados y facilitar la comunicación es la razón principal
por la que se invierte en tecnología de la información. Sin embargo, con la
mayoría de las herramientas de hoy en día, a los empleados les resulta difícil
encontrar la información que necesitan y aprovechar todo el potencial de la
tecnología de la información. Windows Vista se diseñó como una solución
People-Ready para que pudieran encontrar y usar la información de forma
sencilla.
La búsqueda integrada en el escritorio de Windows Vista ayuda a los
usuarios a encontrar la información que necesitan, incluso si se trata de
un dispositivo compartido u otro recurso de red. La búsqueda en el
escritorio de Windows Vista se integra en el sistema operativo (en el
menú de inicio, panel de control y las carpetas de documentos),
facilitando la búsqueda de la información deseada. Los usuarios también
pueden etiquetar un archivo con "metadatos" para indicar que pertenece
a un proyecto o categoría determinados, facilitando la búsqueda, el
filtrado y la organización de los archivos.
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 22
Windows Vista ayuda a los usuarios a aumentar su nivel de productividad
administrando también información en línea. Con la característica de
exploración por fichas de Internet Explorer 7, los usuarios pueden
desplazarse visualmente a la página adecuada. También se ha mejorado
la impresión de páginas web por lo que puede capturar toda la
información sin cortar parte de la página.
La mejora más reconocida de Windows Vista es la nueva interfaz de
Windows Aero. Sus ventanas transparentes permiten a los usuarios de
tareas múltiples centrarse en la ventana actual permitiendo al mismo
tiempo un acceso sencillo al resto del escritorio. Los iconos dinámicos
que ofrecen una vista previa del documento y nuevas formas de navegar
a través de las ventanas del escritorio, ayudan a los usuarios a encontrar
lo que buscan en menos tiempo.
Habilitación de la movilidad de los trabajadores
Aunque los equipos portátiles pueden mejorar la productividad de los
empleados, admitir usuarios móviles en la empresa puede agregar complejidad
al entorno de TI. Conceder acceso seguro a los empleados cuando y donde lo
necesiten requiere, a menudo, inicios de sesión múltiples. Además, los equipos
portátiles pueden suponer riesgos para la información confidencial de la
empresa. Las herramientas nuevas de Windows Vista permiten a su
organización darse cuenta de las ventajas de la informática móvil a la vez que
ayudan a reducir la complejidad y los riesgos.
Windows Vista se creó pensando en la movilidad. El nuevo Centro de
movilidad de Windows ubica los controles más usados, como la
configuración de la batería, el brillo y la presentación, en un sólo lugar. La
administración de energía mejorada permite a su personal móvil
mantener su nivel de productividad y reducir los retrasos al arrancar
desde el modo de espera.
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 23
Las grandes ideas suelen surgir de la colaboración. Windows Vista facilita
la comunicación y la colaboración eficaz con los compañeros de trabajo,
asociados y clientes, donde quiera que le lleve su negocio.
Características como el Centro de Conexiones de Red y el Asistente para
Configuración de red facilitan la conexión. La tecnología del Área de
encuentro de Windows le permite divulgar y compartir documentos y
presentaciones con varios usuarios, aumentando la productividad de las
reuniones.
Para tratar los riesgos de la informática móvil, Windows Vista incluye los
últimos protocolos de seguridad inalámbrica para que los usuarios se
puedan conectar de forma más segura. Cifrado de unidad BitLocker de
Windows Vista Enterprise ayuda a proteger los datos de la compañía en
el equipo portátil, en caso de robo o pérdida del equipo.
Mejora de la seguridad y el cumplimiento
Desafortunadamente, en el mundo digital de hoy en día, los equipos se han
convertido en un objetivo cada vez más atractivo para delincuentes que esperan
robar información o hacer daño a su negocio, personal o equipos. Los ataques
de ingeniería social sofisticados pueden engañar a sus empleados para que
revelen información confidencial, o dirigirse a sus clientes y dañar su reputación.
Además, las nuevas disposiciones gubernamentales requieren estándares de
seguridad y protección de datos de mucha importancia y así poder evitar
penalizaciones. Para ayudar a su compañía a tratar el riesgo y los gastos
asociados a la seguridad y el cumplimiento, Windows Vista contiene varias
capas de protección.
Windows Vista es el primer sistema operativo de escritorio lanzado desde
que empezó la iniciativa hacia una Informática de confianza. Los
desarrolladores de Microsoft recibieron un entrenamiento continuo acerca
de seguridad y se logró a la contratación de expertos en seguridad
líderes del sector para realizar auditorías y pruebas de seguridad. El
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 24
resultado final es una plataforma más segura, más difícil de explotar y
con menos revisiones.
Para mitigar las amenazas de software malintencionado como los virus,
malware y rootkits, Windows Vista incluye Internet Explorer 7 en modo
protegido, que es exclusivo de Windows Vista y evita la instalación
silenciosa de código malintencionado. Windows Defender proporciona
protección integrada frente a malware para sus equipos.
Para mantener un entorno de cumplimiento más seguro, es importante
identificar quién intenta usar el equipo y controlar los recursos a los que
tiene acceso. Windows Vista ayuda a facilitar esta tarea al integrar
compatibilidad para una autenticación de usuario segura. Además,
Windows Vista facilita a las compañías el cumplimiento de las normativas
externas e internas mediante el registro, auditoría y seguimiento de
eventos de seguridad granulares.
Windows Vista dispone de múltiples formas para proteger los datos y
recuperarlos cuando los necesite. La tecnología de instantáneas
almacena de forma automática versiones de archivos conforme los
usuarios trabajan en ellos, incluso sin configurar una copia de seguridad
formal, por lo que pueden recuperar de forma sencilla una versión
anterior de un documento que eliminaron de forma accidental o si
realizaron cambios que desean deshacer.
Optimización de la infraestructura de escritorio
Windows Vista ofrece capacidad a las personas para causar un mayor impacto,
pero ¿los costos de la actualización y mantenimiento del nuevo sistema
operativo superan a los beneficios? Windows Vista habilita la eficacia de TI
ofreciendo tecnología, herramientas y procedimientos recomendados para
optimizar la infraestructura de escritorio y ayudar a reducir los costos de TI.
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 25
Hoy en día, la administración de imágenes de escritorio puede resultar
cara porque los departamentos de TI deben mantener y probar imágenes
de SO independientes para cada lenguaje y tipo de equipo de la
compañía. Con la nueva tecnología de creación de imágenes de
Windows Vista, las compañías pueden implementar una única imagen de
SO para diferentes tipos de hardware de equipos y máquinas en
diferentes lenguajes. Las nuevas herramientas de implementación no
sólo simplifican la migración a Windows Vista, sino que también suponen
grandes ahorros ya que las imágenes nuevas son más fáciles de
mantener, actualizar e implementar para los usuarios nuevos.
Para facilitar la migración inicial a Windows Vista, Microsoft ofrece el Kit
de herramientas de compatibilidad de aplicaciones 5.0, alineando su
lanzamiento con el de Windows Vista. La disponibilidad de esta
herramienta, así como la comunidad en línea que estamos creando para
que los clientes, asociados y proveedores compartan los resultados de
las pruebas, facilitarán en gran medida las pruebas de compatibilidad de
aplicaciones para clientes de empresa.
Windows Vista también dispone de herramientas nuevas para administrar
sus escritorios después de su implementación. Ofrecemos más de 500
objetos de directiva de grupo nuevos para tratar los escenarios de
administración más críticos. Por ejemplo, ahora puede administrar de
forma centralizada la configuración de la energía, lo que puede suponer
un ahorro de 50$ por equipo al año en costos de energía, o incluso los
tipos de dispositivos que los usuarios pueden y no pueden instalar.
Cuando se produce un error del sistema provocado por una aplicación o
dispositivo, en muchos casos, Windows Vista intentará cerrarse de forma
automática para evitar interrupciones de usuario y llamadas innecesarias
al servicio de soporte técnico. Si Windows no puede solucionar el
problema de forma automática, se crea un registro de diagnóstico
integrado que guía al usuario paso a paso para solucionar el problema.
Por ejemplo, la nueva herramienta de reparación de inicio puede reparar
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 26
de forma automática muchos casos de errores de inicio del sistema. Si
los usuarios necesitan soporte técnico, Vista también incluye
herramientas como el Monitor de confiabilidad y rendimiento, asistencia
remota mejorada y el nuevo visor de eventos para que la plantilla de
soporte técnico ponga al personal en marcha en menos tiempo.
La nueva pila de red de Windows Vista puede ayudar al departamento de
TI a asegurar la red mediante el uso de directivas de seguridad basadas
en IPsec. Los diagnósticos de red integrados permiten al usuario final
solucionar grandes problemas de conectividad sin tener que llamar al
servicio de soporte técnico, aumentando la productividad y reduciendo el
costo del mismo.
2.4 Reducción de los costos de soporte técnico con
Windows Vista.
Windows Vista ayuda a reducir los costos de soporte técnico de la empresa al
ofrecer diagnósticos integrados con los que es posible detectar, diagnosticar y
resolver escenarios problemáticos comunes. Windows Vista detecta condiciones
potenciales de error, como las relacionadas con las unidades de disco duro o
con un uso excesivo de la memoria, antes de que se produzca el problema.
Diagnostica el origen de estos problemas y los resuelve automáticamente, o
bien, indica al usuario los pasos para su resolución. Los diagnósticos integrados
están pensados para su uso en la empresa: los departamentos de TI los pueden
configurar mediante opciones de configuración de la directiva de grupo y
recuperar información detallada por medio de un registro de eventos optimizado
y estandarizado. La asistencia remota de Windows Vista también se ha
mejorado, de forma que contribuirá a reducir las visitas físicas del personal de
soporte técnico cuando los problemas requieran la ayuda de un experto. Informe
de errores de Windows y Supervisión de la calidad del servicio garantizan una
recopilación de datos y una mejora del sistema operativo continuadas
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 27
2.5 Diez aspectos principales para implementar Windows
Vista.
Aquí tenemos los aspectos más importantes antes que nuestra organización
requiera implementar Windows Vista
1. Las imágenes de Windows Vista son más grandes.
Con Windows XP y Windows 2000, era posible crear imágenes que cabían
fácilmente en un único CD (menos de 700 MB). Incluso las organizaciones que
agregaban aplicaciones, controladores y utilidades a su imagen solían tener una
imagen de sistema operativo de entre 1 y 3 GB.
Con Windows Vista, el tamaño de imagen comienza alrededor de los 2 GB, ya
comprimido. Una vez que se implementa la imagen, el tamaño suele tener
alrededor de 5 GB o más, y no hay manera de reducirlo. Si agrega otras
aplicaciones, controladores u otros archivos, esta imagen obviamente aumenta
aún más.
¿Cómo implementará la imagen? ¿Dispone su red de la capacidad necesaria?
(Las redes de 10 MB o no conmutadas no son suficientes.) Si desea usar CD,
¿cuántos puede manejar? Necesitará tres o cuatro. Ahora es fácil crear DVD
(con una capacidad de 4,7 GB cada uno), por lo que puede implementar
mediante el uso de unidades de DVD si dispone de ellas. (En caso negativo,
considere agregar unidades de DVD al comprar la siguiente serie de equipos.)
Con claves de memoria USB cada vez más grandes (hasta de 4 GB o más) y
con precios cada vez más baratos, sería bastante fácil usar una para
implementar Windows Vista, ya que puede crear una clave de inicio siempre que
el BIOS del equipo la admita.
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 28
Por último (aunque no está relacionado con el tamaño de imagen), tenga en
cuenta que ya no existe el directorio I386. En su lugar, todos los componentes,
estén instalados o no, se encuentran en el directorio de Windows (aunque no en
el directorio SYSTEM32 estándar). Al instalar un componente nuevo, los
archivos necesarios se buscarán en esta ubicación.
2. Se ha mejorado la seguridad.
Una serie de mejoras de seguridad de Windows Vista tendrán impacto en la
implementación. Por ejemplo, configurar Windows Vista para admitir usuarios
con "pocos derechos" (el usuario que inicia la sesión no tiene derechos de
administrador) es más fácil. Algunas aplicaciones no funcionaban en Windows
XP cuando los usuarios no disponían de acceso de administrador, ya que
asumían que tendrían pleno acceso a la unidad C: y a todas las partes del
Registro. Con Windows Vista, las aplicaciones que intenten escribir en áreas
restringidas verán dichas escrituras redirigidas de forma transparente a otras
ubicaciones del perfil del usuario.
El segundo cambio importante es que los usuarios que no son administradores
pueden cargar controladores. Esto permite a los usuarios conectar dispositivos
nuevos sin tener que recurrir al servicio de asistencia.
La tercera diferencia que encontrará es que Internet Explorer puede instalar
automáticamente controles ActiveX mediante el uso de derechos elevados. Un
nuevo servicio puede realizar estas instalaciones en nombre del usuario (por
supuesto, si el administrador de TI lo permite a través de la directiva de grupo).
Puede que algunos actualmente ya usen derechos de usuario avanzado en
Windows XP, pero esto realmente no ofrece muchas ventajas (en cuanto a la
restricción de los derechos de usuario) con respecto a simplemente otorgar
plenos privilegios de administrador. Por eso se ha eliminado el grupo de usuarios
avanzados en Windows Vista, aunque se puede volver a poner si se necesita
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 29
mediante una plantilla de seguridad aparte que se puede aplicar a una
instalación de Windows Vista.
A veces se necesitan derechos de administrador, pero esto no significa que
quiera trabajar con estos derechos todo el tiempo. Por eso Windows Vista
agrega el control de acceso de usuario (UAC, User Access Control), que hace
que la mayoría de las aplicaciones de usuario, incluso para los administradores,
se ejecuten con derechos restringidos. Para las aplicaciones que necesitan
derechos adicionales, UAC solicitará permiso: pedirá permiso para ejecutarse
con privilegios elevados o bien las credenciales de otro usuario que puedan
reemplazar a los usuarios registrados.
También hay otras mejoras del servidor de seguridad integrado en Windows
Vista. Ahora, el nuevo servidor de seguridad puede controlar tanto el tráfico
entrante como el saliente, mientras permanece totalmente configurable a través
de la directiva de grupo.
Por último, el cifrado BitLocker completo del volumen, que se incluye con
Windows Vista Enterprise y Ultimate, permite cifrar todo el volumen del sistema
operativo. Entonces el volumen sólo se puede leer desde Windows Vista y
únicamente cuando se proporcionan las claves adecuadas, ya sea desde el chip
de módulo de plataforma segura (TPM) 1.2 integrado en el equipo, una clave
USB o mediante escritura en el teclado. (Tenga en cuenta que sólo se admite
TPM 1.2 o posterior.)
3. Windows Vista está formado por componentes.
Uno de los mayores cambios de la arquitectura de Windows Vista es que ahora
se trata de un sistema operativo completamente formado por componentes. Esto
afecta a la implementación de las siguientes maneras.
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 30
La configuración de características de Windows Vista que deberían instalarse
requiere configurar los componentes que se deben habilitar. Hay herramientas
nuevas, como Windows System Image Manager que se muestra en la figura 1,
que ayudan con esto.
Las actualizaciones de seguridad, los paquetes de idioma y los Service Packs
son simples componentes. Se pueden usar herramientas como el Administrador
de paquetes (PKGMGR) para aplicarlos en Windows Vista.
Figure 1 Windows System Image Manager
Además, todo el servicio se puede realizar sin conexión o en línea. Incluso
puede aplicar cambios en Windows Vista o en una imagen de Windows Vista
cuando Windows Vista no esté en ejecución. Esto resulta ideal para las
implementaciones: el sistema operativo se puede revisar antes de iniciarse en la
red por primera vez.
Los controladores también se tratan como componentes, por lo que se pueden
agregar y quitar con facilidad, incluso sin conexión. Esto significa que puede
agregar controladores a imágenes existentes, incluso instantáneamente
(mientras el equipo se inicia por primera vez) durante el proceso de
implementación. Y esto también se aplica a controladores de almacenamiento
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 31
masivo; ya no necesita crear una nueva imagen sólo para agregar un nuevo
controlador de almacenamiento masivo.
Windows Vista expone más configuraciones, ya que la mayoría de los
componentes proporcionan opciones configurables, por lo que es más fácil
establecer valores predeterminados de instalación que se pueden administrar de
forma continua mediante la directiva de grupo.
4. La instalación en modo de texto no existe.
El proceso básico para instalar Windows XP no ha cambiado desde los
comienzos de Windows NT. Este procedimiento lento contaba con un paso inicial
de instalación en modo de texto en el que se descomprimían e instalaban todos
los archivos del sistema operativo, se creaban todas las entradas del Registro y
se aplicaba toda la seguridad. Ahora, con Windows Vista, esta fase de
instalación en modo de texto ha desaparecido por completo. En su lugar, un
nuevo programa de configuración realiza la instalación mediante la aplicación de
una imagen de Windows Vista a un equipo.
Una vez que se ha aplicado esta imagen, tiene que personalizarse para el
equipo. Esta personalización ocupa el lugar de lo que se denominaba instalación
mínima en Windows XP y Windows 2000. El propósito es el mismo: el sistema
operativo recupera la configuración y la personalidad necesarias del equipo
específico en el que se implementó.
El proceso de preparación de imagen también ha cambiado. Con Windows XP,
haría uso de "Sysprep" en un equipo con el fin de preparar el sistema operativo
de referencia para la implementación. Con Windows Vista también ejecutará
Sysprep.exe (instalado de forma predeterminada en
C:\Windows\System32\Sysprep), que "generalizará" el equipo para la
duplicación.
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 32
Windows Vista (todas las versiones) se proporciona en el DVD como imagen
generalizada ya instalada (mediante Sysprep) y lista para implementarse en
cualquier equipo. Algunos clientes pueden decidir implementar esta imagen tal
cual (posiblemente con la inyección de correcciones o controladores mediante
las capacidades de servicio descritas anteriormente).
5. Boot.ini es historia.
Así es, el archivo Boot.ini no se usa en Windows Vista ni en el nuevo Windows
PE 2.0. En su lugar, hay un nuevo cargador de inicio, bootmgr, que lee los datos
de configuración de inicio de un archivo especial llamado BCD. Se usa una
herramienta nueva denominada bcdedit.exe (o un proveedor aparte del
Instrumental de administración de Windows o WMI) para mantener el contenido
del BCD. También se puede configurar una imagen de inicio de Windows PE 2.0
en BCD, lo que facilita el inicio en Windows Vista o Windows PE sin realizar
otros cambios en el equipo. Esta flexibilidad puede ser útil en los escenarios de
recuperación o mantenimiento.
6. La configuración se establece en XML.
Con Windows XP (y las versiones anteriores de Windows PE), la información de
configuración se almacenaba en distintos archivos de texto. Estos archivos de
texto han quedado reemplazados por un archivo XML.
Unattend.txt, que se usaba para configurar la instalación de Windows XP, ha
quedado reemplazado por unattend.xml. Unattend.xml también reemplaza otros
tres archivos:
Sysprep.inf, que se usaba para configurar cómo se personalizaba una imagen de
Windows XP al implementarla en un equipo mediante una instalación mínima.
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 33
Wimbom.ini, que se utilizaba para configurar Windows PE.
Cmdlines.txt, que se usaba con el fin de especificar una lista de comandos para
ejecutar durante la instalación mínima.
Si lo desea, puede seguir usando archivos distintos. No tiene que poner todos
los elementos de configuración en un único archivo unattend.xml. El esquema de
alto nivel del nuevo archivo de configuración XML está bien definido, con cada
fase del proceso de implementación representada. Los elementos de
configuración se especifican en los componentes adecuados del sistema
operativo y estos elementos se detectan de forma dinámica desde los mismos
componentes. Con Windows XP, la mayoría de los profesionales de TI hacían
uso del Bloc de notas para editar los distintos archivos de configuración. Puede
seguir haciéndolo, pero la herramienta Windows System Image Manager de la
que hablé antes se puede usar para inspeccionar la imagen de Windows Vista,
determinar qué configuraciones están disponibles y permitirle configurar cada
una.
Otra herramienta para ayudar a la implementación es la herramienta de
migración de estado de usuario (USMT) 3.0, cuyo lanzamiento se espera al
mismo tiempo que Windows Vista. También usará archivos de configuración
XML en lugar de los archivos .inf que se utilizaban en versiones anteriores.
7. Se acabaron las complicaciones de HAL.
Con Windows XP, las restricciones técnicas impedían la creación de una única
imagen que pudiera implementarse en todos los equipos. Las distintas capas de
abstracción de hardware (HAL) suponían el mantenimiento de varias imágenes.
La mayoría de las organizaciones necesitaban dos o tres imágenes por
plataforma (x86 y x64) y algunas elegían tener incluso más, aunque cada
imagen supone complejidad y costos agregados.
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 34
En Windows Vista, esas restricciones técnicas han desaparecido; el sistema
operativo es capaz de detectar qué HAL es necesaria y de instalarla
automáticamente.
8. Reglas de Windows PE.
Windows PE 2.0, la nueva versión que se lanzará con Windows Vista, es una
parte clave del proceso de implementación. Incluso la instalación estándar
basada en DVD de Windows Vista usa Windows PE 2.0, y la mayoría de las
organizaciones la utilizarán (a menudo personalizada para las necesidades
específicas de la empresa) como parte de sus procesos de implementación.
En comparación con la implementación basada en MS-DOS, Windows PE 2.0
aporta numerosas ventajas, incluido menos tiempo empleado en la búsqueda de
controladores de 16 bits en modo real. (Ya ni siquiera es posible encontrarlos
para algunos de los nuevos adaptadores de almacenamiento masivo y tarjetas
de red.) Otras ventajas son un mejor rendimiento de herramientas y pilas de red
de 32 y 64 bits, así como una gran compatibilidad de memoria. Y no olvide la
compatibilidad con herramientas como Windows Scripting Host, VBScript y las
aplicaciones de hipertexto.
Windows PE lleva disponible unos cuantos años (la versión más reciente,
Windows PE 2005, se lanzó al mismo tiempo que Windows XP SP2 y Windows
Server 2003 SP1), pero no todas las organizaciones podían usarlo; necesitaban
tener Software Assurance en las licencias del sistema operativo de escritorio
Windows. Con Windows PE 2.0, ya no es así. Todas las organizaciones podrán
descargar Windows PE 2.0 de microsoft.com y usarlo de forma gratuita con el fin
de implementar copias con licencia de Windows Vista.
Como el propio Windows Vista, Windows PE 2.0 se proporciona como una
imagen formada por componentes que se puede reparar en línea o sin conexión.
Como con Windows PE 2005, se pueden agregar varios componentes
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 35
opcionales, aunque Windows PE 2.0 incluye algunos nuevos: MSXML 3.0,
Windows Recovery Environment, paquetes de idioma, paquetes de fuentes, etc.
Se proporcionan herramientas nuevas como peimg.exe para el servicio de
Windows PE 2.0. Peimg.exe también se puede usar para agregar controladores
(incluidos los dispositivos de almacenamiento masivo, que ya no necesitan
tratamiento especial).
9. Todo está en las imágenes.
Con Windows XP, algunas compañías usaban las funciones de creación de
imágenes de Systems Management Server (SMS) 2003 OS Deployment Feature
Pack o herramientas de creación de imágenes de terceros. No existía ninguna
herramienta de creación de imágenes genérica de Microsoft. Eso ha cambiado
con Windows Vista: se han creado nuevas herramientas para admitir el formato
de archivo Windows Imaging (WIM). A diferencia de muchos otros formatos de
imagen, las imágenes WIM se basan en archivos, lo que permite su aplicación a
particiones existentes de forma no destructiva. Esto supone grandes ventajas en
los procesos de implementación, dado que el estado de usuario se puede
guardar de forma local en lugar de en un servidor de red. Esto elimina lo que es
con frecuencia el mayor origen de tráfico de red durante una implementación.
Dado que los archivos WIM son imágenes basadas en archivos, (obviamente) no
se basan en sectores, por lo que no hay problemas relacionados con particiones
o discos de distintos tamaños. Una imagen WIM incluye sólo el contenido de un
volumen o una partición de un único disco, así que si tiene varias particiones que
capturar, debe crear una imagen distinta para cada una. Pero cada una de estas
imágenes se puede almacenar en el mismo archivo WIM, ya que el formato de
archivo WIM admite varias imágenes por archivo.
El formato de archivo WIM también admite el almacenamiento de instancia
única, por lo que los archivos duplicados (incluso de distintas imágenes) se
eliminan automáticamente. Entre esto y las técnicas de compresión avanzada
empleadas, las imágenes WIM son normalmente más pequeñas que las
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 36
imágenes creadas por otras herramientas. Sin embargo, debido al
procesamiento adicional, se tarda más en crearlas. Este equilibrio entre tamaño
y rendimiento es justo; dado que normalmente se captura la imagen sólo una vez
y luego se implementa varias veces, los ahorros en el tráfico de red pueden ser
sustanciales.
La herramienta de línea de comandos IMAGEX se conecta con la API WIMGAPI
de nivel inferior (que también está totalmente documentada para su uso con
herramientas personalizadas) y se utiliza para la creación y la manipulación de
imágenes WIM. Además, proporciona un mecanismo para montar imágenes
WIM como sistemas de archivos. Una vez montada, la imagen se puede leer y
modificar mediante el uso de herramientas estándar de Windows, ya que parece
una unidad de medios extraíble normal. Este dispositivo facilita un gran número
de oportunidades de servicio.
10. El idioma de la implementación es neutral.
Windows XP admitía distintos idiomas de dos formas. Podía implementar
versiones localizadas de Windows XP, lo que requería una imagen distinta para
cada idioma, o bien podía implementar una versión en inglés de la interfaz de
usuario multilingüe (MUI, Multilanguage User Interface) con paquetes de idioma
agregados. Cada enfoque tenía ventajas e inconvenientes pero, en la mayoría
de los casos, las organizaciones que necesitaban admitir varios idiomas elegían
la solución MUI, aunque tenían que abordar las limitaciones de ejecución con un
sistema operativo cuyo núcleo estaba realmente en inglés. Las organizaciones
que trabajaban sólo con un idioma normalmente elegían usar únicamente las
versiones localizadas.
Ahora, con Windows Vista, el idioma de todo el sistema operativo es neutral. Se
agregan uno o varios paquetes de idioma a este núcleo de idioma neutral para
crear la imagen que se implementa (aunque sólo algunas versiones de Windows
Vista admiten varios idiomas).
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 37
El idioma del servicio de Windows Vista también es neutral, por lo que en
muchos casos sólo se necesita una actualización de seguridad para todos los
idiomas. Y el idioma de la configuración es neutral, por lo que se puede usar un
unattend.xml para todos los idiomas.
Para ayudar, Microsoft ha creado nuevas herramientas, orientación y
procedimientos detallados. Éstos se incluyen en el acelerador de soluciones
para la implementación de escritorio en la empresa (BDD, Business Desktop
Deployment) 2007.
BDD 2007 descompone el proceso de implementación en piezas más
manejables, con distintos equipos que administran cada componente. Se
proporcionan orientación, listas de comprobación y herramientas a cada equipo
para ayudar con las tareas que deben realizar (consulte la figura 2).
Figure 2 BDD 2007 descompone el proceso de implementación en piezas
más manejables
BDD 2007 se puede descargar de connect.microsoft.com tras el registro en el
programa beta abierto. En la descarga están todas las herramientas de
implementación de Windows Vista, incluidas Windows PE 2.0, ImageX, Windows
System Image Manager y USMT 3.0, junto con la documentación en la que se
explica cómo usarlas en un proceso de un extremo a otro. La versión final de
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 38
BDD 2007 se lanzará aproximadamente al mismo tiempo que Windows Vista.
Para echar un vistazo a BDDWorkbench, consulte la figura 3.
Figure 3 BDDWorkbench ayuda a administrar escenarios de
implementación múltiple
El objetivo de BDD 2007 es la simplificación. Incluso si no cuenta con un proceso
de implementación y creación de imágenes existente, debería ser capaz de usar
BDD para establecer uno con rapidez. Se proporcionan dos métodos de
implementación:
Lite Touch, que se ha escrito de nuevo por completo, requiere la
interacción del usuario para iniciar la implementación. No necesita
ninguna infraestructura especial, aunque puede usar WDS, la próxima
versión de RIS.
Zero Touch, que no necesita la intervención del usuario, se coloca sobre
SMS 2003 OS Deployment Feature Pack.
Las nuevas características de BDD 2007 incluyen la inyección y el repositorio de
controladores, el procesamiento completo de copia de seguridad de equipos, la
integración de todas las herramientas de implementación de Windows Vista y
mucho más. BDD 2007 incluirá el código fuente para todas sus herramientas de
automatización, para que pueda modificarlo con el fin de satisfacer sus
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 39
necesidades específicas, o bien copiarlo y pegarlo en sus propias soluciones. El
código fuente se proporciona sin restricciones.
2.6 Características nuevas de la directiva de grupo
En esta sección se destaca cómo la Directiva de grupo de Windows Vista
proporciona nuevas formas de administrar la organización. Los ejemplos de esta
sección demuestran cómo puede usar la configuración de la directiva que se usó
por primera vez en Windows Vista para administrar los recursos de una
empresa.
Implementación de la configuración de la administración de
energía
En Windows Vista, se ha habilitado para la Directiva de grupo toda la
configuración de la administración de energía, lo cual supone ahorros de costos
potencialmente significativos. El control de la configuración de energía a través
de la Directiva de grupo podría ahorrar a las organizaciones una importante
suma de dinero. Puede modificar opciones de energía específicas a través de
cada opción de la Directiva de grupo o crear un plan de energía personalizado
que se pueda implementar a través de la Directiva de grupo. Para obtener más
información, consulte la configuración de la administración de energía que se
encuentra en Configuración del equipo\Plantillas
administrativas\Sistema\Administración de energía en Editor de objetos de
directiva de grupo.
Bloqueo de la instalación de dispositivos
En Windows Vista, puede limitar de manera centralizada los dispositivos que se
instalan en equipos de la organización. A partir de ahora podrá crear
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 40
configuraciones de directiva para controlar el acceso a dispositivos tales como
unidades USB, CR-RW, DVD-RW y otros medios extraíbles.
Mejoras de la configuración de seguridad
En Windows Vista, se combinan la configuración del firewall y de la Directiva de
grupo IPsec para aprovechar las ventajas de ambas tecnologías, al tiempo que
se elimina la necesidad de crear y mantener la funcionalidad duplicada. Algunos
escenarios admitidos por esta configuración combinada de firewall y directiva
IPsec son las comunicaciones entre servidores en Internet, la limitación de
acceso a recursos de un dominio según las relaciones de confianza o la salud de
un equipo, y la protección de la comunicación de datos en un servidor específico
para cumplir los requisitos reglamentarios sobre la privacidad y seguridad de los
datos. Para obtener más información, consulte la configuración de la protección
de seguridad que se encuentra en Configuración del equipo\Configuración de
Windows\Configuración de seguridad\Windows Firewall con seguridad
avanzada.
Administración ampliada de la configuración de Internet
Explorer
En Windows Vista, puede abrir y editar la configuración de la Directiva de grupo
de Internet Explorer sin el riesgo de alterar accidentalmente el estado del valor
de directiva basada en la configuración de la estación de trabajo administrativa.
Este cambio sustituye el comportamiento anterior según el cual algunas
configuraciones de directiva de Internet Explorer cambiarían en función de la
configuración de directiva habilitada en la estación de trabajo administrativa
usada para ver la configuración. Para obtener más información, consulte la
configuración de la directiva de Internet Explorer que se encuentra en
Configuración del equipo\Plantillas administrativas\Componentes de
Windows\Internet Explorer y Configuración de usuario\Plantillas
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 41
administrativas\Componentes de Windows\Internet Explorer en Editor de objetos
de directiva de grupo.
Asignación de impresoras según la ubicación
La capacidad de asignar impresoras según la ubicación en la organización o en
una ubicación geográfica es una característica nueva de Windows Vista. En
Windows Vista, puede asignar impresoras según la ubicación del sitio. Cuando
los usuarios móviles se desplazan a otra ubicación, la Directiva de grupo puede
actualizar sus impresoras para la nueva ubicación. Los usuarios móviles que
vuelvan a sus ubicaciones originales verás sus impresoras predeterminadas
habituales. Para obtener más información, consulte la configuración de la
directiva de conexiones de impresoras implementadas que se encuentra en
Configuración del equipo\Configuración de Windows\Impresoras implementadas
y Configuración de usuario\Configuración de Windows\Impresoras
implementadas en Editor de objetos de directiva de grupo.
2.7 Información general acerca de Windows Defender
Windows Defender es un software de protección en tiempo real que se usa para
la detección y mitigación de spyware y otro software potencialmente no deseado.
Ayuda a proteger los equipos que ejecutan Windows Vista, Microsoft Windows
XP con Service Pack 2 (SP2), o Windows Server 2003 con Service Pack 1
(SP1). El usuario del equipo o el administrador local pueden configurar o usar
Windows Defender, y el administrador del sistema lo puede configurar y
mantener. Windows Defender se instala automáticamente con Windows Vista.
Para equipos que ejecutan Windows XP con SP2 o Windows Server 2003 con
SP1, Windows Defender se debe instalar manualmente. Windows Defender se
ejecuta como un servicio local.
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 42
Para obtener información acerca de la configuración manual y el mantenimiento,
consulte la Ayuda de Windows Defender, que está disponible localmente cuando
se instala el software.
Funcionamiento de Windows Defender
Windows Defender se instala en todos los equipos y se administra localmente.
Examina todos los objetos designados por el usuario y realiza acciones
específicas cuando se encuentra spyware u otro software potencialmente no
deseado. Windows Defender supervisa los programas de inicio, los programas
que se ejecutan actualmente, los programas conectados a red y los proveedores
de servicios Winsock, además de otros puntos de extensibilidad de inicio
automático (ASEP). Windows Defender no busca cookies porque existen
muchas finalidades legítimas para cookies.
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 43
Capitulo 3: Definir un programa piloto para la
implementación de Windows Vista
3.1 Cinco problemas de adopción de Windows Vista y
cómo solucionarlos
La migración del sistema operativo es una de esas cosas que siempre
intentamos evitar en la medida de lo posible. A diferencia de una aplicación
nueva, el SO abarca todos los aspectos del ecosistema del PC y la verdad es
que puede ser un proceso arduo que requiere mucho tiempo. Como todo el
entorno del PC se ve afectado, es vital que se prueben todos los elementos, que
la planificación sea minuciosa y que la comunicación sea total. No es de extrañar
que incluso los profesionales de TI con más experiencia prefieran seguir
adelante y aprender lecciones difíciles.
Aquí detallamos los problemas que pueden ocurrir cuando se adopte Windows
Vista.
Problema nº 1: Compatibilidad de hardware
Asumámoslo, comparado con versiones anteriores, Windows Vista requiere
hardware bastante sólido para ejecutarse correctamente, sobre todo si desea
beneficiarse de los efectos visuales avanzados de la interfaz de Windows Aero.
Aunque los requisitos mínimos establecidos son razonables (512 MB de RAM),
en la práctica, la mayoría de los usuarios encuentran que un equipo que ejecuta
Windows Vista necesita aprox. 2 GB de RAM, una tarjeta de vídeo de gran
capacidad y un procesador de doble núcleo.
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 44
Cómo solucionarlo
El primer paso es descargar y ejecutar el Asesor de actualizaciones de Windows
Vista o, si evalúa sistemas múltiples, la herramienta Windows Vista Hardware
Assessment (WVHA).El Asesor de actualizaciones está diseñado para informar
de la compatibilidad de un sistema independiente y proporciona un informe
detallando el estado de compatibilidad de su hardware y software (consulte la
Figura 4.
Figura 4 Windows Vista Upgrade Advisor
WVHA es una herramienta de inventario, evaluación y elaboración de informes y
ayuda a ubicar equipos en una red y evaluar si están preparados para ejecutar
Windows Vista. El Asistente para evaluar el hardware de Windows Vista elabora
informes personalizados que contienen resultados de evaluaciones detalladas y
de alto nivel, y proporciona una línea de base con los equipos que están
preparados para Windows Vista y los que necesitan modificaciones o un enfoque
de implementación alternativo.
Windows Vista puede coexistir con Windows XP, unirse a dominios de Windows
Server y aceptar el control de la directiva de grupo para configuración y
administración. Conforme se actualicen más sistemas, y desaparezca Windows
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 45
XP, la configuración de la directiva de grupo heredada de Windows XP se podrá
quitar de Active Directory.
Con una mayor capacidad de directiva de grupo, Windows Vista ofrece un
control más granular que Windows XP sobre ajustes y configuraciones, entre los
que se incluyen la administración de energía. Esto permite que un usuario
obtenga acceso a un escritorio virtual de Windows Vista y a una aplicación de
Windows basada en x86 desde hardware que no puede ejecutar el software de
forma local.
Problema nº 2: Aplicaciones empresariales
La compatibilidad de aplicaciones es uno de los desafíos más difíciles al migrar a
un sistema operativo nuevo. Aunque la mayoría de las aplicaciones escritas para
Windows XP deberían funcionar bien con Windows Vista, a menudo, numerosas
aplicaciones empresariales fundamentales necesitan una actualización para
funcionar correctamente. A primera vista, esto puede parecer un obstáculo para
la adopción de Windows Vista. Sin embargo, algunas técnicas usadas por los
participantes de la primera adopción ofrecen puntos clave acerca de cómo
superar este obstáculo para continuar con la implementación.
Cómo solucionarlo
El primer paso es crear un amplio inventario del conjunto de aplicaciones y del
estado de las aplicaciones. Microsoft desarrolló el Kit de herramientas de
compatibilidad de aplicaciones (ACT, Application Compatibility Toolkit) para
facilitar esta tarea. Con esta herramienta podrá:
Analizar el conjunto de aplicaciones, sitios web y equipos.
Evaluar el impacto de Windows Vista en estas aplicaciones y sitios web
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 46
Establecer prioridades de esfuerzos de compatibilidad de aplicaciones
Implementar mitigaciones automatizadas de problemas de compatibilidad
conocidos
El Kit de herramientas de compatibilidad de aplicaciones también le permitirá
enviar y recibir información de compatibilidad actualizada de Application
Compatibility Exchange, un servicio web que obtiene la información de Microsoft,
ISV y de la comunidad ACT. Además, Microsoft ha creado la Application
Compatibility Factory (ACF) que pone en contacto a sus clientes empresariales
con asociados seleccionados para ofrecer servicios de compatibilidad de
aplicaciones y corrección de bajo costo y gran volumen.
El siguiente paso es tratar las aplicaciones fundamentales que no serán tan
compatibles como desearía para implementar Windows Vista. Un enfoque útil
usado por las organizaciones para tratar este desafío es crear una instancia
virtualizada de un sistema operativo compatible (es decir, Windows 2000 o
Windows XP) hospedado en un equipo con Windows Vista PC que use Microsoft
Virtual PC 2007.
Problema nº 3: Aplicaciones desarrolladas en la empresa
Al implementar Windows Vista, los plazos de entrega y los recursos pueden
evitar que se encuentren disponibles versiones compatibles con las aplicaciones
de línea de negocio creadas por el equipo de desarrollo de la empresa. El reto
es similar al problema anterior. Sin embargo, desde que la resolución depende
de recursos internos, solucionar el problema requiere un enfoque diferente.
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 47
Cómo solucionarlo
El paso más importante es introducir al equipo de desarrollo de la empresa en la
planificación de la implementación de Windows Vista desde el principio. El
equipo tiene que integrar el proceso de actualización de versiones en los planes
del proyecto y, debido a los exigentes plazos para la fase de desarrollo, se debe
comenzar lo antes posible.
El Kit de herramientas de compatibilidad de aplicaciones es el punto de partida.
Además de identificar las aplicaciones y los sitios web de la empresa que no
funcionan, presentan problemas menores o no presentan problemas, ACT 5.0
ofrece nuevas herramientas para desarrolladores para probar paquetes de
instalación, sitios web y aplicaciones web con Windows Internet Explorer 7 e
identificar problemas al ejecutarlos como usuarios estándar en Windows Vista.
Problema nº 4: Control de cuentas de usuario
Todos hemos oído hablar de algunos desafíos de la nueva característica de
seguridad de Windows Vista, Control de cuentas de usuario (UAC, User Account
Control), diseñada para evitar que el software malintencionado se infiltre en el
equipo de un usuario. Apple Computer incluso le echó sentido del humor en un
anuncio protagonizado por "el chico PC". Sin embargo, UAC es una nueva
característica de seguridad eficaz que, en última instancia, ayudará a los
profesionales de TI a controlar mejor el entorno de PC.
Al exigir a todos los usuarios que ejecuten en modo de usuario estándar,
Windows Vista minimiza la capacidad de los usuarios para realizar cambios sin
consentimiento explícito que puedan desestabilizar sus equipos o exponer la red
de forma accidental a virus; reduciendo las llamadas al departamento de soporte
técnico urgentes, mitigando el impacto del malware y protegiendo los datos
confidenciales en equipos compartidos.
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 48
El desafío para los profesionales de TI consiste en que muchas aplicaciones
heredadas disponen de procesos que requieren privilegios de administrador,
suponiendo que sus programas podrían tener acceso y modificar cualquier
archivo, clave del Registro o configuración del sistema operativo. Para evitar
interrupciones y garantizar que las aplicaciones funcionen sin problemas, se
requiere intervención para configurarlas para que funcionen en modo de usuario
estándar.
Cómo solucionarlo
Hay dos factores importantes para evitar problemas con la característica Control
de cuentas de usuario: educar a los usuarios finales para responder a
indicadores UAC y garantizar que las aplicaciones se configuren en el modo de
usuario estándar. Windows Vista permite que estas aplicaciones heredadas se
ejecuten en cuentas de usuario estándar a través de la ayuda del sistema de
archivos y de la virtualización del espacio de nombres del Registro. Al configurar
aplicaciones heredadas, Microsoft recomienda que los instaladores de
aplicaciones globales que esperan ejecutar con derechos administrativos creen
un directorio independiente para almacenar los archivos ejecutables y los datos
auxiliares de aplicaciones, y creen una clave para la configuración de su
aplicación. Se encuentra disponible una descripción detallada de este proceso
en TechNet Magazine: Estudio del control de cuenta de usuario (UAC) de
Windows Vista.
Problema nº 5: Preparación del usuario final
Sabemos que, inevitablemente, cuando cambie el entorno de PC en el que
trabajan los usuarios finales, se producirá un aluvión de llamadas al servicio de
soporte técnico y confusión entre las personas menos expertas en tecnología de
su organización. Las tareas que solían ser familiares ahora se hacen de forma
diferente. En la mayoría de los casos, los cambios son triviales, aunque para
algunos usuarios la curva de aprendizaje es demasiado pronunciada. Por
supuesto, los cambios se realizaron en función de investigaciones exhaustivas
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 49
sobre las posibilidades de uso y la optimización de las tareas más comunes,
pero realizar avances puede resultar molesto en sí mismo.
Cómo solucionarlo
Tal vez la mejor forma para evitar la interrupción, reducir las llamadas al servicio
de soporte técnico y acelerar la productividad sea comunicar antes y con
frecuencia cómo se realizarán las tareas comunes en el nuevo entorno.
Asegúrese de que el aprendizaje del usuario final es parte del proyecto y de que
proporciona el contenido en tandas fáciles de asimilar.
Las organizaciones que han migrado con éxito grandes grupos han establecido
una base al principio del proceso, para que los usuarios finales sepan qué
esperar desde el primer día que empiecen a trabajar con su nuevo entorno de
PC. Proporcionan información general acerca de los cambios, pero también
ofrecen una lista de los "10 cambios principales" en la forma de realizar las
tareas comunes. La misma importancia tiene el hecho de comunicar el modo en
que el nuevo entorno mejorará la productividad. Se trata de asegurar las
adquisiciones por parte de los usuarios finales, de manera que se sientan parte
del cambio y asuman responsabilidades para ponerse al día. Un recurso que
puede ser valioso en este proceso es Enterprise Learning Framework. Enterprise
Learning Framework (ELF) es una herramienta que ayuda a las organizaciones a
desarrollar un plan de aprendizaje y comunicación para empleados durante la
implementación de Windows Vista y 2007 Microsoft Office system. ELF identifica
los temas de aprendizaje más relevantes de la Ayuda en línea de Windows y
Office Online para las diferentes etapas de implementación y para los distintos
tipos de usuarios. Con Enterprise Learning Framework podrá:
Minimizar las preocupaciones preparando a los empleados para la
implementación y haciéndolos conscientes de las ventajas de la nueva
versión
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 50
Minimizar las interrupciones del día de la implementación manteniendo
informados a los empleados con una lista breve de los temas que deben
saber
Seleccionar sugerencias y trucos y otros temas de productividad para
ayudar a los empleados a aprovechar al máximo Windows Vista y la
versión 2007 de Office después de la implementación
El día de la migración, las organizaciones envían un correo electrónico
introductoria que destaca las características nuevas y proporciona instrucciones
paso a paso para realizar tareas comunes y adaptar las nuevas capacidades. Si
dispone de recursos, crear breves guías de procedimientos facilitará a los
usuarios el uso del nuevo entorno.
3.2 Cómo realizar el proyecto piloto de Windows Vista
Cuando una empresa toma la decisión de cambiar al entorno de Windows Vista,
hay varios procesos que se ponen en marcha. Uno de los más importantes es el
desarrollo de un programa de implementación piloto. El programa piloto realizar
varias funciones, entre ellas, pruebas, evaluación, recopilación de comentarios
de los usuarios y aprendizaje de usuarios, para preparar la implementación
prevista de Windows Vista. Un programa piloto ejecutado correctamente ayudará
a que se realice una implementación sin problemas, una asignación precisa de
los recursos (como el presupuesto y el personal) y una estimación acertada de
las necesidades de aprendizaje.
Definición del ámbito
El primer paso para un programa piloto correcto debe ser definir los objetivos del
programa y qué es lo que debe conseguirse tras su finalización. Los objetivos se
usarán para valorar el éxito del proyecto, por lo que deberían considerarse
cuidadosamente con la ayuda de diferentes participantes, incluido el
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 51
departamento de tecnología de la información (TI), el centro de soporte técnico,
el personal ejecutivo y, si es posible, representantes de los usuarios finales.
Requisitos de negocio
Algunos de los objetivos que es preciso definir al planear el programa piloto de
migración de Windows Vista deberían identificar las necesidades y requisitos de
negocio que debe cubrir el programa.
Durante la definición de las necesidades del negocio deberían tenerse en cuenta
diversos factores, entre ellos:
¿La actualización cumplirá los requisitos de negocios existentes y
planeados?
¿Se producirá un ahorro de costos debido al cambio a Windows Vista?
¿La seguridad se verá afectada por la introducción de Windows Vista?
¿La actualización será beneficiosa para los usuarios finales?
¿Mejorará la experiencia de los usuarios móviles?
¿Cuál será el costo de la actualización en lo que respecta a dedicación
del personal, dinero y otros factores?
¿Tendrá un efecto negativo sobre la seguridad?
¿Bajarán los costos de soporte técnico?
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 52
¿Quién será el patrocinador ejecutivo del proyecto?
Evaluación del entorno actual
Antes de poder iniciar una migración, es preciso realizar una evaluación o
inspección del entorno de red actual. Durante la fase de evaluación, el objetivo
es obtener una imagen clara del estado actual del entorno para tener una idea
más completa de las aplicaciones, los sistemas operativos, el hardware y las
necesidades de usuario existentes. El software existente debe evaluarse para
determinar si las aplicaciones son compatibles con Windows Vista, si dispone de
una actualización compatible con Windows Vista, o bien, en caso de
aplicaciones personalizadas, si dichas aplicaciones funcionan o se pueden hacer
funcionar con Windows Vista. Al realizar un inventario del hardware, es preciso
determinar si el hardware instalado puede ejecutar la versión de Windows Vista
que se va a implementar; por ejemplo, Windows Vista Business o Windows Vista
Enterprise.
Para ayudarle en el proceso de evaluación, existen varias herramientas de fácil
acceso que pueden serle útiles durante la fase de inventario. Entre ellas se
incluyen:
Kit de herramientas de compatibilidad de aplicaciones (ACT) 5: esta
utilidad puede ayudarle en la fase de evaluación de determinación de
compatibilidad e inventario.
Business Desktop Deployment 2007: este acelerador de soluciones de
Microsoft puede ayudarle a determinar diversas opciones y escenarios de
implementación para el entorno actual.
Windows Vista Hardware Assessment 2.1: la utilidad Windows Vista
Hardware Assessment puede ayudarle en el inventario de equipos de una
red e informar de los resultados, de modo que el equipo del proyecto
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 53
puede determinar si el hardware actual puede ejecutar el nuevo sistema
operativo.
Systems Management Server (SMS) 2003: mediante SMS 2003 puede
recopilar información detallada de los entornos de software y hardware
actuales de toda la empresa.
Durante la fase de evaluación, intente responder a las siguientes preguntas:
¿El hardware actual ejecutará la versión de Windows Vista que desea
implementar?
¿Las aplicaciones actuales se usarán durante toda la ejecución de la
organización en Windows Vista? ¿Qué sucederá con las aplicaciones
personalizadas?
¿Los servicios de red actuales funcionarán con el entorno propuesto?
¿Cuál será el costo de adaptar el hardware y el software incompatible?
¿Qué aplicaciones de hardware no se pueden actualizar?
Durante la fase de evaluación también será importante determinar una línea de
base para el hardware (y en algunos casos, para el software). La línea de base
se usará como herramienta para determinar los requisitos mínimos para los
equipos y/o el software que desea actualizar a Windows Vista.
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 54
Elección de un grupo piloto
La siguiente fase de la implementación será elegir un grupo de usuarios para
que participen en el programa piloto. Este grupo de usuarios y el hardware que
usan permitirá probar la implementación real en un entorno que simulará el
entorno de producción. Elegir el hardware y los usuarios apropiados es algo
fundamental, ya que el hecho de elegir unos participantes inapropiados puede
generar datos irrelevantes, o bien, en algunos casos puede hacer que se pase
por alto un problema potencial que podría resultar crucial durante la
implementación real.
Selección de usuarios
Una vez determinados los objetivos del proyecto y evaluadas las necesidades,
es necesario seleccionar un grupo de usuarios como grupo piloto. El grupo piloto
representará todos los segmentos de usuarios y de la empresa que se verán
afectados por la actualización. Los miembros del grupo piloto se deben
seleccionar detenidamente para garantizar que representan de forma precisa la
población de usuarios y que pueden proporcionar los comentarios necesarios
para que el proyecto se realice correctamente.
Al elegir un grupo piloto, tenga en cuenta las siguientes prácticas recomendadas:
Elija usuarios que representen un amplio sector de la base de usuarios.
Por ejemplo, elija unos cuantos usuarios del departamento de
contabilidad que desempeñen las funciones habituales de dicho grupo,
como usar determinados paquetes de software o hardware.
Intente incluir usuarios que estén usando versiones anteriores del
sistema operativo, como Windows 2000, para determinar si los equipos
pueden actualizarse a Windows Vista y conservar su funcionalidad.
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 55
Elija usuarios que tengan tiempo para proporcionar comentarios e
información al grupo de administración piloto.
Incluya usuarios que obtengan los mayores beneficios de la actualización
a Windows Vista. Un ejemplo de ello serían los usuarios móviles, que se
beneficiarán del cifrado de disco BitLocker.
Busque usuarios que comprendan y adopten la nueva tecnología.
Al evaluar la idoneidad de un candidato, tenga en cuenta lo siguiente:
No elija usuarios cuyos departamentos sufran efectos adversos por
tiempo de inactividad potencial, rendimiento reducido, problemas de
compatibilidad u otros factores.
Evite elegir departamentos o usuarios que posean software
personalizado o entornos que aún no se hayan probado ni se haya
certificado que funcionan con Windows Vista.
Tenga en cuenta el tiempo al usar un candidato para el programa piloto:
por ejemplo, no debería incluirse un usuario de contabilidad que tiene
que trabajar en informes de final de mes durante el período piloto.
No incluya departamentos enteros en un grupo piloto para evitar tener
que apagar un grupo si surge un problema importante durante el
programa piloto.
Elección de los equipos cliente
Otro aspecto de la elección de un grupo piloto es la elección de los equipos
cliente correctos para el programa. Al elegir el hardware para el programa piloto,
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 56
incluya únicamente equipos que cumplan con los requisitos mínimos para
ejecutar la versión de Windows Vista que desee implementar (Windows Vista
Ultimate, Windows Vista Business, Windows Vista Enterprise, etc.).
Al elegir equipos cliente, tenga en cuenta todos los factores, como por ejemplo,
los dispositivos que el usuario podría usar con el equipo. Busque hardware
(dispositivos móviles, escáneres, impresoras, estaciones de acoplamiento, etc.)
que puedan estar conectados al sistema en momentos diferentes. Cada uno
requerirá un conjunto específico de controladores y aplicaciones para funcionar
correctamente.
Planeamiento de la implementación piloto
Una vez se ha evaluado el entorno operativo actual y se han localizado los
usuarios y el hardware adecuados, se puede pasar al planeamiento de la
implementación piloto actual. Al planear la implementación piloto es importante
tener presentes unos cuantos puntos clave. Primero, debe asegurarse de que
existe un mecanismo adecuado para solicitar comentarios a los participantes en
el programa piloto. Durante el programa piloto, la recopilación de información es
de vital importancia para el éxito de la posible implementación en la empresa. En
el momento de llevar a cabo la fase de planeamiento, ya habrá seleccionado los
usuarios y los equipos que participarán en el programa; si la selección se ha
realizado correctamente, dichos usuarios conformarán una aproximación del
entorno final. Dado que el entorno piloto simulará el entorno de producción, los
comentarios de los participantes deberían aproximarse bastante a los problemas
que aparecerán durante la posible implementación en la empresa. Recuerde que
los comentarios recopilados durante el programa piloto se usarán para identificar
y resolver problemas durante dicho programa y antes de la implementación final.
Recuerde que el objetivo del programa piloto es simular y recopilar información
acerca de la implementación de Windows Vista en el entorno de producción. Si
tiene en cuenta este punto, se asegurará de que su equipo se centre en
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 57
solucionar los problemas de la implementación de Windows Vista en lugar de
concentrarse únicamente en las pruebas del software.
Fase de prueba e implementación
Una vez finalizada la fase de planeamiento, el programa piloto puede pasar a la
fase de prueba e implementación real. La fase de prueba representa el paso de
un entorno de laboratorio o de prueba a la implementación real en escritorios "en
directo", donde los usuarios tendrán su primera experiencia práctica con el
producto.
Antes de la implementación real se recomienda realizar una prueba para ver
cómo se ejecutará Windows Vista en el hardware actual y con software estándar.
También es posible realizar las pruebas de esta fase mediante la selección de
personal de TI que posea un equipo adicional donde pueda ejecutar Windows
Vista a la vez que mantiene un equipo principal que ejecute el sistema operativo
actual, por ejemplo, Windows XP.
Idealmente, la fase de prueba debería dividirse en dos partes: la prueba en el
laboratorio y la prueba de producción limitada. En la fase de prueba en el
laboratorio, se configurarán y usarán entornos que simulen al máximo el entorno
de producción actual. En un entorno de laboratorio deberán llevarse a cabo
pruebas rigurosas para minimizar los problemas, además de aprovechar la
existencia de un entorno de laboratorio aislado donde los problemas no pueden
extenderse. La segunda fase de prueba, o fase limitada, se basará en el
personal de TI anteriormente mencionado, el centro de soporte técnico y otros
usuarios "avanzados" que además de ofrecer comentarios útiles, poseen
también equipos secundarios que se usan para tareas de producción. Una vez
finalizadas estas fases, puede iniciarse una implementación piloto más amplia.
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 58
Creación de un plan de comprobación
Al probar Windows Vista, es importante realizar un plan de comprobación
estructurado en contexto para comprobar la compatibilidad de las aplicaciones
de software y hardware, y detectar cualquier problema inicial. El objetivo de las
pruebas iniciales es detectar todos los problemas posibles y solucionarlos antes
de la implementación en el grupo piloto.
En concreto, su plan de comprobación debería incluir lo siguiente:
Una lista de objetivos técnicos y administrativos específicos que se deben
cumplir acordados por todos los miembros de los equipos piloto y
basados en los comentarios de varios departamentos.
Un modo de calcular los resultados (por ejemplo, mediante hitos) además
de una forma de establecer prioridades en relación a los problemas que
deben solucionarse.
Un método de clasificación de problemas que determinará si un problema
detendrá la implementación hasta que se halle una solución, además de
clasificaciones para problemas menos críticos.
Una programación que determinará cuándo deben cumplirse los hitos
más importantes. Luego se realiza la asignación de responsabilidades,
por ejemplo, quién se ocupará de comprobar cada característica y
obtener un mecanismo o proceso para informar de los problemas que se
manifiesten durante el proceso de prueba.
Tal como se ha mencionado anteriormente, la fase de prueba deberá centrarse
más en las aplicaciones de prueba empleadas por toda la empresa y en su
respuesta en un entorno controlado y aislado como un laboratorio. El grupo que
participe en probar Windows Vista debería constar idealmente de personas que
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 59
posean destreza técnica, por ejemplo, personal de TI superior o experto, o bien
usuarios finales. Cualquier comentario acerca de los problemas durante esta
fase deberá examinarse con detenimiento y será preciso tener en cuenta sus
potenciales implicaciones en el entorno de producción. Recuerde que lo que
podría parecer un problema pequeño o aislado en un laboratorio, podría
convertirse en un grave problema durante una implementación en toda la
empresa.
Creación de un plan de implementación piloto
Debería establecer un plan que se ocupe de cómo se tratan los problemas
durante el transcurso del programa piloto y la implementación final. Es inevitable
que se produzcan problemas menores, además de problemas más graves, y
cada uno de ellos requiere un nivel de tratamiento y atención diferente. Durante
el programa piloto, considere la posibilidad de disponer de un mecanismo para
establecer prioridades en los problemas, de modo que se puedan evaluar y tratar
correctamente. Considere un proceso que registre los problemas como alto,
medio y bajo. Por ejemplo, un problema que produzca un error en la
implementación podría considerarse "alto", mientras que otro que genera un
problema de visualización menor en una aplicación usada por pocos usuarios
recibiría la categoría de "bajo". Después de la fase de prueba y una
implementación posterior limitada, vuelva a estos problemas para determinar si
deben solucionarse inmediatamente o si pueden posponerse.
Fase uno: Personal de TI y centro de soporte técnico
Una vez completada la prueba de laboratorio inicial, se puede implementar
Windows Vista en el primer grupo de usuarios piloto, que idealmente será el
equipo de soporte técnico de TI. El hecho de que el personal de TI sea el primer
grupo receptor de la implementación cumple varios objetivos, entre ellos, la
implementación del producto en un grupo inicial reducido de escritorios y
usuarios fáciles de supervisar. Los miembros del departamento de TI también
resultan útiles como usuarios pioneros porque su alto nivel de conocimientos
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 60
técnicos y capacidades facilitará la implementación y la tarea de tratar cualquier
problema técnico o de capacidad de uso de un modo mucho más sencillo que
con un grupo no técnico.
Durante y después de la implementación en el grupo de TI, asegúrese de
recopilar información sobre el éxito global del proceso para su uso y análisis
posterior. Como con cualquier información generada durante el proceso piloto,
analice todos los problemas surgidos y use los resultados para llevar a cabo las
correcciones, ajustes o actualizaciones necesarios en la siguiente fase. Otro
aspecto importante de recopilar y procesar con diligencia la información es que
se puede agregar a una base de datos del centro de soporte técnico y usar para
tratar problemas idénticos o similares después o durante el programa piloto, así
como durante la implementación en la empresa de Windows Vista.
Una vez completada esta fase y analizados y resueltos todos los problemas
graves, el paso siguiente consiste en implementar el sistema operativo Windows
Vista en el siguiente grupo o grupos de usuarios.
Fase dos: Usuarios finales
El siguiente paso en la implementación de Windows Vista durante el programa
piloto es facilitarlo a los diferentes usuarios seleccionados para participar en el
proyecto. Según la cantidad de usuarios de esta fase y del personal de TI
disponible, se recomienda la adopción de un método por fases para garantizar el
éxito del proceso. Si se usa un método por fases, los problemas pueden tratarse
con facilidad y es posible refinar los procesos de implementación para que
resulten más efectivos. Un beneficio adicional del método por fases es que se
asemejará más al proceso de implementación real para el entorno de
producción. La probabilidad de implementar Windows Vista en toda la empresa
de una vez o en grupos muy grandes en la mayoría de los casos es muy baja.
Durante esta fase, tenga en cuenta los siguientes puntos para garantizar que la
implementación sea lo más segura y fluida posible:
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 61
Tenga en cuenta la programación de cada departamento y planee su
programa piloto en función de las horas de trabajo críticas para reducir
las posibilidades de que surjan problemas que afecten a las operaciones
de negocio.
Actualice grupos piloto reducidos y fáciles de administrar uno por uno
para supervisar y solucionar los problemas que vayan surgiendo con
eficacia.
Documente todos los problemas que aparezcan durante el proceso de
implementación para poder solucionarlos en futuras implementaciones, y
preparar al centro de soporte técnico y al personal de TI para que los
afronte durante la implementación en toda la empresa.
Identifique los problemas ocasionados por la compatibilidad de
aplicaciones, además de aquellos relacionados con el software
incompatible o insuficiente.
Realice un seguimiento de los problemas debidos a una falta de
conocimiento o capacidades del usuario final para poder desarrollar un
aprendizaje.
Empiece con grupos reducidos y fáciles de controlar que puedan
supervisarse y delimitarse para detectar cualquier otro problema que no
se haya detectado durante las pruebas anteriores.
Preparación e implementación de la infraestructura
La siguiente fase del proceso piloto es la determinación de los requisitos de
implementación e infraestructura y cualquier otro requisito para realizar
correctamente la implementación. El equipo de proyecto debería decidir cómo
implementar la imagen del sistema operativo en los escritorios y equipos
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 62
portátiles que ejecutarán Windows Vista. Existen varias opciones para
implementar Windows Vista:
La implementación de la instalación sin interacción (ZTI) es una opción
no interactiva (es decir, que no requiere interacción por parte del usuario).
Este tipo de implementación es perfecta para organizaciones con la
infraestructura de soporte adecuada, como por ejemplo, Microsoft
Systems Management Server (SMS) 2003 o Microsoft Operations
Manager (MOM) 2005.
La implementación de la instalación con poca interacción (LTI) requiere
algo de interacción por parte del usuario para completar el proceso, y
puede resultar adecuada para empresas que no disponen de
herramientas como SMS 2003 o MOM 2005. Este tipo de implementación
también resulta eficaz para equipos cliente que pueden ser remotos,
tener directivas de seguridad especiales o no tener capacidad de red
para administrar ZTI.
La opción final para la implementación es llevar a cabo una instalación
manual estándar ejecutando Windows Vista desde un DVD de origen o
desde una ubicación central, como un recurso compartido de red. Esta
opción es la que requiere una interacción del usuario más elevada. Ya
que se necesitarán acciones por parte del usuario durante la instalación,
esta opción también es la que posee un mayor riesgo de problemas; los
usuarios pueden cometer errores al introducir información durante la
instalación.
Una vez seleccionada una opción de implementación y preparada la
infraestructura, el siguiente paso es preparar y crear una imagen del nuevo
sistema operativo. Al crear una imagen es importante tener en cuenta las
diferentes plataformas y entornos de hardware para los que se realizará la
implementación y crear la imagen de la forma adecuada. La imagen deberá
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 63
incluir todos los controladores necesarios, software y otras características
incluidas en el entorno implementado.
En entornos con más de 25 usuarios, la infraestructura será necesaria para
admitir la activación del volumen de Windows Vista. Los nuevos servicios de
activación usados en entornos empresariales son las Clave de Activación
Múltiple (MAK) y el Servicio de administración de claves (KMS). Estos servicios
requerirán la implementación de un servicio dedicado para administrar licencias
o agregar la función a un equipo existente.
Comunicación
El éxito del programa piloto depende en gran parte del establecimiento de
canales para comunicar la información entre todas las partes implicadas. Una
comunicación clara y frecuente puede ayudar al equipo del proyecto a tener
acceso al presupuesto, al personal y a otros recursos necesarios para el
proyecto.
Al establecer canales de comunicación, tenga en cuenta lo siguiente:
Identifique los participantes clave o los jefes de departamento que
pueden hablar en nombre de sus respectivos grupos y obtener la ayuda o
los recursos necesarios para sus equipos. Estos jefes también serán los
responsables de comunicar al grupo piloto cualquier tipo de preocupación
o de problema que surja en su equipo.
La representación ejecutiva es otro aspecto vital de la comunicación y
garantiza el éxito global del proyecto piloto. Es importante incluir a un
ejecutivo de la empresa porque éste puede obtener el presupuesto
necesario, asignar personal adicional y otorgar representación al proyecto
piloto en el nivel más alto de la organización.
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 64
Los canales de recopilación y registro de información poseen una
importancia fundamental para el futuro éxito del programa piloto y de la
implementación en la empresa, ya que representan formas de indicar el
estado y proporcionar otra información al equipo. Como se ha
mencionado anteriormente, los problemas surgirán durante el programa
piloto debido a problemas técnicos y a la falta de familiaridad con el
producto, entre otros motivos. El hecho de ofrecer a los participantes una
forma de aportar información al equipo del proyecto resulta vital, ya que
dicha información puede analizarse y usarse para mejorar el proceso de
implementación, además de usarse para planear aprendizaje y otras
tareas.
Requisitos de aprendizaje
Un aspecto inevitable de la actualización a Windows Vista es que tanto los
usuarios como el personal de soporte técnico deberán aprender cómo usar y
realizar el soporte de un nuevo sistema operativo. Windows Vista proporciona
algunas herramientas para ayudar a los nuevos usuarios en la actualización,
incluso ayuda en línea y otras características que describen cómo aprovechar el
potencial del producto. Sin embargo, en la mayoría de casos será necesario un
aprendizaje.
Antes de presentar Windows Vista al personal de soporte técnico y los usuarios
finales, el equipo del proyecto debería dedicar algo de tiempo a ofrecer un
aprendizaje inicial para garantizar una transición sin problemas. Los métodos
recomendados para enseñar a los usuarios antes y durante el programa piloto
son muy diversos; sin embargo, tenga en cuenta los siguientes:
El aprendizaje electrónico puede realizarse en línea o mediante un DVD o
CD.
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 65
Los seminarios y los cursos prácticos han sido diseñados para ofrecer a
los usuarios una introducción rápida a Windows Vista y enseñarles cómo
realizar las tareas diarias.
Los seminarios breves mediante instructor o los aprendizajes de media
jornada enseñan a los usuarios los aspectos básicos del uso del nuevo
sistema operativo.
Nota: otro beneficio de este formato en particular es que los participantes
generarán información acerca de la capacidad de uso y los problemas técnicos
que el equipo piloto puede solucionar.
Una línea de soporte técnico dedicada reservada para los participantes del
programa piloto puede proporcionar esta ayuda a petición. Una de las ventajas
de recopilar comentarios e información durante un programa piloto es la
identificación de áreas problemáticas para los usuarios y el personal de soporte
técnico. Al crear un plan de aprendizaje, asegúrese de revisar toda la
documentación y los problemas identificados durante las pruebas y la
implementación para determinar qué aspectos del nuevo sistema operativo
deben corregirse.
Análisis posterior al programa piloto
El paso final en el proceso del programa piloto es evaluar el éxito global del
proyecto e identificar las áreas que se deben mejorar. Al principio del proceso, el
equipo del proyecto definió los objetivos, a los que es preciso volver ahora para
ver cuáles de ellos se han alcanzado y cuáles no. A pesar de que los objetivos
específicos de un proyecto piloto serán únicos para cada organización que
implementa Windows Vista, también desempeñan la importante función de
valorar el éxito.
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 66
Otra parte del análisis posterior al proyecto es volver a los requisitos de negocio
para determinar si el proyecto los ha cumplido. Los requisitos de negocio
normalmente requieren un análisis de los datos más exhaustivo para determinar
el efecto de la implementación en el entorno empresarial.
Durante el análisis posterior al programa piloto deberían realizarse las tareas
siguientes:
Revisar los objetivos del proyecto para ver cuáles se han cumplido y
cuáles no, y determinar por qué.
Analizar los objetivos empresariales, como el ahorro de costos derivado
del uso de Windows Vista, y el volumen de recursos empleados para
completar el proyecto.
Detallar los problemas surgidos durante el programa piloto, el modo en
que se trataron y si aún deben solucionarse.
3.4 Como iniciar una implementación de Windows Vista
Si inicia la implementación de Windows Vista inmediatamente en la organización
por ser una propuesta tan tentadora, debería seguir las recomendaciones de la
tecnología de información (TI) estándar para dirigir los programas pilotos a los
primeros grupos especificados. La guía está pensada para ofrecer una
introducción sobre la correcta administración de un programa piloto que
proporcione a los usuarios piloto la mejor experiencia y ayude a ofrecer una
justificación positiva del proyecto a los responsables de la toma de decisiones de
la organización.
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 67
Evaluación del entorno
El primer paso de la implementación piloto es asegurar que el hardware del
equipo y las aplicaciones que usa la empresa son compatibles con Windows
Vista. Aunque no tenga planeado implementar Windows Vista ampliamente,
debería realizar este tipo de evaluación para poder presupuestar y planear una
migración eventual.
Microsoft ofrece varias herramientas gratuitas que pueden ayudarle en este
proceso. Puede usar el Kit de herramientas de compatibilidad de aplicaciones de
Microsoft 5.0 para realizar un inventario y ofrecer datos de compatibilidad para
todas las aplicaciones que usa la organización. Del mismo modo, puede usar el
acelerador de solución Windows Vista Hardware Assessment para realizar el
inventario de sus equipos en la red y determinar cuáles están preparados para
ejecutar Windows Vista. Mientras recopila las herramientas que necesita, todos
los profesionales de TI que trabajen en el programa piloto deberían descargar el
acelerador de soluciones Business Desktop Deployment (BDD) 2007 para
Windows Vista y el sistema Microsoft Office 2007
Selección de usuarios para la implementación piloto
A continuación, descarte a aquellos usuarios que realizan funciones de
importancia crítica. Con frecuencia, suelen ser los usuarios móviles. Si incluye
usuarios móviles en la implementación piloto considere el uso que harán de sus
equipos portátiles. Algunos usuarios únicamente usan equipos móviles como
sustitutos de los equipos de escritorio. Normalmente, los usuarios más
entusiastas proporcionarán los comentarios más positivos sobre la
implementación. Por lo tanto, puede considerar la posibilidad de permitir que los
usuarios decidan su participación en el programa piloto.
Planear las fases del programa piloto
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 68
A menos que trabaje para una empresa pequeña, la implementación de
Windows Vista en todos los participantes del programa piloto en una etapa
podría conducir a resultados no del todo óptimos. Es mejor realizar la
implementación piloto en fases. Planee una implementación de prueba de
concepto seguida de primeras y segundas fases piloto.
Prueba de concepto
La implementación de prueba de concepto será la primera oportunidad que
tenga para ver directamente lo que ocurrirá durante la implementación piloto.
Idealmente, debería configurar algunos equipos con la configuración estándar de
la empresa y, a continuación, probar su plan de implementación en esos
equipos. Debido a que la implementación de prueba de concepto ocurre en un
entorno de laboratorio, puede probar su plan sin temor de afectar a los equipos
de producción.
Tenga en cuenta que la implementación de Windows Vista en estos equipos de
laboratorio representa únicamente la mitad del trabajo. Después tiene que probar
los equipos para asegurarse de que Windows Vista se ejecuta correctamente en
ellos. Una opción para probar estos equipos es permitir que los miembros del
personal de TI usen equipos Windows Vista junto con sus equipos de producción
Windows XP e intentar que realicen las tareas diarias en los sistemas de prueba.
Después de haber probado el entorno de prueba de concepto y comprobado que
los equipos ejecutan correctamente su trabajo estándar de configuración con
Windows Vista, puede iniciar la primera fase de la implementación piloto.
Fase uno
El objetivo de la primera fase de la implementación piloto es introducir Windows
Vista en el entorno de producción de una capacidad limitada. Centre esta fase
en el departamento de soporte técnico o en otros miembros del departamento de
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 69
TI. La finalidad de esta fase es la validación de su método de implementación,
de modo que pueda limitar la implementación a 25 equipos o menos. Debido al
alcance limitado de la implementación y a la competencia técnica de los
participantes, debería poder completar esta fase en una semana.
Igual que en la fase de prueba de concepto, asegúrese de analizar el resultado
de la implementación de la fase uno y realizar cualquier ajuste necesario en el
proceso. Como parte del análisis será necesario que revise las llamadas al
departamento de soporte técnico de los participantes del programa. Esto le
ayudará a comprender los problemas que debe resolver o a anticiparse antes de
realizar la implementación a mayor escala. Además, estas llamadas permitirán
iniciar la creación de una base de conocimiento del departamento de soporte
técnico con posibles errores y experiencias de usuario final con Windows Vista.
Después de haber completado el análisis de la primera fase de su
implementación piloto, puede proceder a la segunda fase.
Fase dos
La segunda fase de la implementación piloto incluirá un mayor número de
equipos que la implementación de la fase uno, pero absténgase de implementar
Windows Vista en todo el grupo piloto a la vez. En su lugar, implemente
Windows Vista en pequeños grupos de usuarios al mismo tiempo, analice los
resultados y refine la técnica de implementación entre grupos.
Cuando desarrolle los planes para cada fase del programa piloto Windows Vista,
asegúrese de tener en cuenta todos los calendarios del departamento. Por
ejemplo, no sería lógico implementar Windows Vista en el departamento
financiero al final de un trimestre.
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 70
Preparar la infraestructura
Después de haber planeado las fases de la implementación piloto, es hora de
planear el método que se usará durante la implementación. La solución BDD
2007 ofrece la guía y las herramientas para implementar los sistemas del
escritorio de Windows Vista. Si usa la solución BDD 2007, puede realizar una
instalación sin interacción (ZTI) o una instalación con poca interacción (LTI).
Para obtener más información acerca de las opciones de implementación de
BDD 2007 en la guía BDD 2007 y en el sitio web de BDD 2007.
Puede iniciar una implementación sin interacción sin que se requiera ninguna
interacción en el equipo del cliente. Esta es la mejor opción para las
organizaciones que tienen la infraestructura necesaria, por ejemplo, Microsoft
Systems Management Server (SMS) 2003 y Microsoft Operations Manager
(MOM).
Puede iniciar una implementación con poca interacción, que requiere menos
infraestructura back-end que la implementación sin interacción, mediante la
ejecución de un script o un ejecutable en el equipo del cliente. Si no se usa BDD,
una opción a tener en cuenta son las implementaciones manuales con CDs o
sistemas previamente cargados con Windows Vista.
Windows Vista requiere que tenga activadas sus licencias de medios por
volumen mediante un nuevo procedimiento denominado Volume Activation 2.0.
Puede realizar esta activación si usa una Clave de activación múltiple (MAK) o el
Servicio de administración de claves (KMS). Siga la guía en la Página principal
de recomendaciones técnicas de Volume Activation de Windows Vista para
determinar cuál es la mejor opción para su entorno. Debe tener en cuenta que la
opción KMS funciona únicamente con 25 equipos o más ejecutando Windows
Vista.
El último paso para preparar la implementación es usar BDD 2007 para crear
una imagen de implementación maestra. Esta imagen debería incluir cualquier
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 71
aplicación que desee implementar globalmente y cualquier unidad suplementaria
que pudiera ser necesaria. Puede implementar esta imagen en los participantes
en cuanto esté seguro de que están preparados para la implementación piloto.
Proporcionar el aprendizaje necesario
Antes de iniciar la implementación, asegúrese de que todas las personas
implicadas poseen el aprendizaje adecuado. El personal de TI que realiza la
implantación necesitará aprendizaje sobre Windows Vista. Lo mismo ocurre con
el personal del departamento de soporte técnico. Microsoft ofrece numerosos
cursos de aprendizaje, exámenes de certificación de Windows Vista y temas
relacionados. Para consultar la oferta actual visite el sitio web de introducción a
las certificaciones de Microsoft. Así mismo, consulte los Eventos y difusiones por
web de Microsoft, diseñados para enseñar a los profesionales de TI diversos
temas.
Asegúrese de que los usuarios que participan en la implementación piloto son
conscientes de los cambios en la interfaz de usuario, y muéstreles como realizar
las tareas más comunes en Windows Vista. Enterprise Learning Framework, una
herramienta gratuita que ayuda a las organizaciones a desarrollar un plan de
aprendizaje y comunicación para los empleados durante las implementaciones
de Windows Vista y el sistema Office 2007, es un buen recurso.
Si es usuario de Microsoft Software Assurance, podría optar a ayuda adicional.
Según los productos con licencia que tenga, podría estar habilitado para
Microsoft Desktop Deployment Planning Services (DDPS), un compromiso de 1 a
15 días con un consultor especializado en la implementación de Windows Vista y
el sistema Office 2007. Para determinar si está cualificado, compruebe el gráfico
de comparación de beneficios de Software Assurance.
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 72
Solucionar problemas
Durante el desarrollo del programa de implementación piloto, puede detectar
incompatibilidades inesperadas con algunas de sus aplicaciones o dispositivos.
Esto no significa que deba abandonar la actualización. Existen diversas técnicas
que puede usar para solucionar este tipo de situaciones.
Lo primero que debe hacer cuando se encuentra con una incompatibilidad es
determinar si hay una actualización disponible para la aplicación. Los mayores
cambios en la seguridad y acceso a Windows Vista han hecho que algunas
aplicaciones heredadas, como los firewall y los clientes de red privada virtual
(VPN), sean incompatibles, aunque la mayoría de los fabricantes de software
han publicado actualizaciones para hacer que sus aplicaciones sean compatibles
con Windows Vista. Estas actualizaciones podrían resolver sus problemas. El
sitio web sobre preparación de aplicaciones para Windows Vista, es una buena
fuente para determinar si han aparecido actualizaciones de compatibilidad de
Windows Vista para diversas aplicaciones.
Si no encuentra ninguna actualización para la conexión, póngase en contacto
directamente con el fabricante para consultar si existe una actualización y, si es
así, cuando estará disponible. De forma alternativa, puede buscar una aplicación
de la competencia que ofrezca compatibilidad con Windows Vista. Otras posibles
soluciones para aplicaciones incompatibles incluyen la ejecución de aplicaciones
en Terminal Server o en un entorno de Microsoft Virtual PC.
En caso de tener que esperar la distribución de una actualización de la
aplicación, considere la posibilidad de avanzar con la implementación de
Windows Vista en los departamentos que no usan la aplicación incompatible. Del
mismo modo, una conversación con los directivos de los departamentos podría
revelar que, de hecho, pocas personas, si es que hay alguna, usan realmente la
aplicación.
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 73
Evaluar el éxito de la implementación piloto
Después de haber instalado Windows Vista para todos los participantes del
programa piloto, se necesita alguna forma de determinar que la implementación
piloto se ha realizado correctamente. Los criterios para una implementación
piloto correcta pueden variar de una organización a otra. En algunas empresas,
implementación correcta puede significar simplemente que Windows Vista está
actualizado y se está ejecutando sin ningún efecto secundario adverso. Una
justificación empresarial para implementar Windows Vista normalmente significa
que los beneficios superan los costos. Otra posible justificación es la reducción
de los costos de implementación. Estos factores pueden reducir
considerablemente los costos de implementación.
La implementación piloto es un proceso iterativo.
3.5 Compatibilidad de Aplicaciones de Windows Vista
Kit de herramientas de compatibilidad de aplicaciones 5.0 de Microsoft
El Kit de herramientas de compatibilidad de aplicaciones (ACT) 5.0 de Microsoft
es una herramienta de administración del ciclo de vida de las aplicaciones que le
asistirá en la identificación y la administración de su serie completa de
aplicaciones, lo que reduce los costos y el tiempo que conlleva la solución de
problemas de compatibilidad de aplicaciones y permite una implementación
rápida de Windows Vista y de las actualizaciones de Windows.
Con él puede:
Analizar el conjunto de aplicaciones, sitios web y equipos.
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 74
Evaluar las implementaciones de sistema operativo, la repercusión de las
actualizaciones de sistema operativo y la compatibilidad con sitios web.
Administrar de forma centralizada los evaluadores de compatibilidad y los
valores de configuración.
Racionalizar y organizar las aplicaciones, los sitios web y los equipos.
Establecer prioridades de esfuerzos de compatibilidad de aplicaciones
con informes filtrados.
Agregar y administrar problemas y soluciones para el entorno informático
de la compañía.
Implementar atenuantes automatizados de problemas de compatibilidad
conocidos.
Enviar y recibir información de compatibilidad de Microsoft Compatibility
Exchange.
Instalación de ACT
Aquí podemos apreciar los pasos de instalación del kit de herramientas de
compatibilidad de aplicaciones.
1. Descomprimir el archivo ACT.
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 75
Figura 5. Descomprimiendo el instalador.
2. Esperamos que se aparezca la primera pantalla para iniciar la instalación.
Figura 6. Iniciando carga de datos.
3. Aceptamos la licencia y luego seleccionamos la ubicación de destino de la
instalación.
Figura 7. Aceptación Licencia e Instalación.
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 76
4. Después de la copia de archivos finalizamos la instalación.
Figura 8.- Finalización de la instalación.
Aquí obtenemos este utilitario, el uno es la Administración de Compatibilidad
donde permite reunir datos de inventario. Los datos se pueden recopilar en torno a
cambios del sistema operativo de distinta magnitud, desde grandes eventos (como
una actualización del sistema operativo), a eventos medianos (como una
actualización del explorador) o eventos más pequeños (como el lanzamiento de
Windows Update). La capacidad de reunir los datos de compatibilidad en un solo
almacén centralizado tiene ventajas considerables en la reducción del riesgo de la
organización durante los cambios de plataforma.
Figura 9.- Administrador Compatibilidad.
El Administrador de la compatibilidad de aplicaciones
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 77
Figura 10.- Administrador de Comp. Aplicación.
En la siguiente parte configuramos el servidor SQL y el nombre de Base de Datos.
Figura 11 Nombre servidor y Base de Datos.
Luego escogemos el destino de la base de datos.
Figura 12. Destino de la Base de Datos.
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 78
Escogemos el usuario de la base de datos, puede ser local o con cuenta de
usuario y luego finalizamos la instalacion
Figura. 13 Usuario-Instalacion Final
En la pantalla de bienvenida se visualiza las tareas que brinda la herramienta:
Figura 14. Pantalla de Bienvenida.
Aquí podemos crear un nuevo paquete de las caracterisiticas del sistema
operativo. Para luego ser analizada por ACT 5.0.
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 79
Figura 16. Creación de nuevo paquete y Análisis del mismo.
Herramientas de desarrollo
Las herramientas para los programadores para que puedan probar paquetes de
instalación, sitios web y aplicaciones web con Internet Explorer 7, así como
aplicaciones que se ejecutan como usuarios estándar en Windows Vista.
Setup Analysis Tool (SAT): automatiza las instalaciones de aplicación en
ejecución a la vez que controla las acciones realizadas por cada instalador de
aplicación. La herramienta Setup Analysis Tool detecta los siguientes posibles
problemas:
Internet Explorer Test Tool: reúne los problemas basados en web de Internet
Explorer 7, carga los datos en el servicio de procesamiento de registros de ACT y
muestra los resultados en tiempo real.
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 80
Figura 17- Microsoft IE Compatibility
Standard User Analyzer (SUA): determina los problemas posibles de las
aplicaciones que se ejecutan como usuario estándar (SU) en Windows Vista.
Figura 18- Análisis Usuario Estándar.
3.6 Microsoft Deployment Toolkit (MDT) 2008
Instalación de MDT
Aquí podemos apreciar la instalación de la Herramienta de Microsoft Deployment.
1. Descomprimir el archivo MDT y aceptamos el contrato.
Figura 19. Inicialización de la instalación.
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 81
2. Escogemos las opciones de instalación para luego su finalización.
Figura 20 Escoger las herramientas y su instalación.
3. Se instala los archivos y finalizamos la instalación.
Figura 21 Finalización de la instalación.
En la pantalla principal podemos realizar el inventario de la infraestructura de la
organización.
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 82
Figura 22 Pantalla de la herramienta Microsoft Deployment Toolkit
3.7 Windows PE 2.0 para Windows Vista
Windows PE es una herramienta de inicio creada a partir de los componentes de
Windows Vista. A diferencia de Windows Vista, que es un sistema operativo de
propósito general, Windows PE está diseñado para utilizarse específicamente
para la instalación, solución de problemas y recuperación de Windows Vista. A
pesar de que todas las instalaciones de Windows Vista se basan en Windows
PE, el usuario medio no se dará cuenta de la existencia de Windows PE.
En los casos de solución de problemas, Windows PE reemplaza a los discos de
inicio de MS-DOS para solucionar problemas cuando Windows Vista no pueda
iniciarse correctamente. Windows Vista. Los departamentos de TI también
pueden utilizar Windows PE para solucionar problemas de forma manual y
pueden aprovechar las herramientas integradas o agregar herramientas a la
imagen de Windows PE.
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 83
Capítulo 4: Seguridades de Windows Vista
4.1 El Centro de Seguridad de Windows
Windows Security Center es una utilidad que permite tener centralizadas en un
mismo lugar todas las opciones de seguridad y para que se encuentren más
accesibles y sean fácil de controlar. Desde ella es posible observar:
El estado de Windows Firewall (puede estar activo o no).
El estado de las actualizaciones automáticas (puede estar activo o no).
El estado de la protección de software maligno (malware). Aquí existen
dos tipos de protección: antivirus y anti-spyware.
Otras configuraciones de seguridad (Internet explorer y UAC).
Desde ese lugar se verificará el estado de la computadora y si existe algún
problema.
Figura 23 Control desde el Centro de Seguridad de Windows
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 84
Desde Windows Security Center, también se puede acceder a las aplicaciones
que controla, como por ejemplo:
Windows Update.
Windows Firewall.
Windows Defender.
Internet Explorer.
Y también es posible:
Acceder a la última información de virus de Microsoft.
Desactivar los alertas del Security Center.
Figura 24 Panel Izquierdo del Centro de Seguridad de Windows
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 85
4.2 Windows Defender
Windows Defender es una herramienta utilizada para la eliminación de spyware
o software malicioso, elementos emergentes y otro tipo de elementos que
disminuyan el rendimiento de la computadora.
Windows Defender cuenta con las siguientes ventajas:
Protección en tiempo real: Esta aplicación supervisa la computadora y
recomienda todas las acciones que puede realizar cuando se detecta un
spyware
Actualizaciones automáticas: Se actualiza tanto automáticamente como
cuando el usuario lo requiera. Estas actualizaciones son creadas con la
ayuda de expertos analistas de Microsoft y de los usuarios voluntarios de
la red mundial de Windows Defender, permaneciendo al día ante
cualquier amenaza que surja.
Funcionamiento sencillo y tecnología de eliminación exhaustiva.
Estas características ayudarán a detectar y eliminar rápido y de manera sencilla
cualquier spyware. El tipo de interfaz que utiliza puede agilizar el trabajo que se
esté ejecutando y seguir utilizando la computadora sin inconvenientes. Además,
todos los usuarios de Windows Defender pueden unirse a la red mundial para
ayudar a detectar e informar de nuevas amenazas. Los analistas de Microsoft
revisan estos informes y desarrollan nuevas definiciones de software que
protejan de las nuevas amenazas, para estar más seguro.
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 86
Figura 25 Pagina Principal Windows Defender
Aquí obtenemos algunas herramientas como es el Análisis, donde se examina
los archivos del equipo; Historial de procesos y Herramientas para su respectiva
configuración. Aquí esta las opciones, Microsoft SpyNet, Explorador de Software
entre otras que se observa en la siguiente figura.
Figura 26. Herramientas y Configuración
Aquí esta cuando seleccionamos Opciones donde configuramos como debe
funcionar Windows Defender.
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 87
Figura 27 Opciones de Windows Defender.
En el explorador de software permite ver que aplicaciones se están ejecutando
en el inicio de sesión.
Figura 28 Explorador de Software.
4.3 Seguridad y Conexión en Internet Explorer 7
Muchas características del Internet Explorer 7 permanecen ocultas realizando
tareas de protección silenciosas pero vitales, repasemos las más importantes:
CURI: Esta función asegura en Internet Explorer 7 una evaluación
consistente de URIS (identificadores unificado de recursos) para evitar
ataques de URI-parsing. CURI seguramente va a pasar desapercibido
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 88
para los usuarios finales pero se trata de una mejora importante dado que
el Web browser toma numerosas decisiones de seguridad en base al
URI. Si un atacante puede confundir al browser durante la combinación
de URIs, eso puede en consecuencia, complicar la seguridad del usuario.
Modo Protegido: Internet Explorer 7 para Windows Vista se ejecuta en
un modo protegido llamado formalmente Low-rights IE, que impide la
instalación de software malicioso a través de una vulnerabilidad.
Active-X Opt-In: Internet Explorer 7 deshabilita por defecto todos los
Active-X. De este modo cada usuario debe habilitar explícitamente los
Active-X necesarios disminuyendo la posibilidad de ataques masivos.
Filtro Anti-Phishing: Internet Explorer 7 cuenta con protección nativa
antiphishing destinado a proteger a los usuarios de las estafas basadas
en sitios Web falsificados. De este modo, ante la visita posterior a ese
sitio, Internet Explorer 7 alertará que se trata de un sitio Web dedicado al
phising. Para sitios no reportados se emplea un sistema de detección
automática de características típicas de sitios de phising.
Figura 29 Opciones de Internet
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 89
4.4 Complementación del UAP
La protección UAP de cuentas de usuario (cuentas de usuario limitadas), es la
nueva característica de seguridad de Microsoft Windows Vista. La idea de este
sistema es que los usuarios puedan llevar a cabo sus tareas sin disponer de
privilegios de administrador.
Los programas que necesiten privilegios de administrador (como las
herramientas para administrar el sistema) se iniciarán con privilegios completos
una vez que el usuario da su consentimiento, mientras que las aplicaciones que
precisen de estos privilegios para ejecutarse correctamente podrán ejecutar
privilegios elevados con privilegios completos de administrador.
4.5 El Control Parental
El Control Parental permite a los padres limitar el contenido y los juegos que van
a utilizar sus hijos. Esta función también almacena un registro de las actividades
realizadas para analizar posteriormente el uso que le dan los hijos a la PC. Con
un poco de imaginación, este conjunto de herramientas es aplicable a otros
casos de uso, por ejemplo dentro de una empresa, para monitorear las
actividades de los empleados y detectar tareas improductivas en horarios de
trabajo. De este modo, los administradores de redes cuentan con una
herramienta adicional no sólo de seguridad sino de control de uso de las
aplicaciones y del ancho de banda dedicado a cada usuario.
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 90
Figura 30 El Control Parental
4.6 Configurar el Centro de Red
En el Centro de Red pueden distinguirse las siguientes opciones:
Desde la opción Ver Mapa de la Red es posible visualizar un mapa de la red
donde se determinará, por ejemplo: qué computadora se encuentra en ella, a
través de qué dispositivos (hub, switch o router), etc.
Desde Personalizar Conexión, es posible cambiar el nombre de la conexión de
red, configurarla con opciones avanzadas y realizar un diagnóstico de la misma.
Desde la opción Cambiar la Categoría de Red se podrá modificar la categoría
de la red. Si es pública, estarán deshabilitados el descubrimiento de la red y el
acceso a ella desde otra computadora. En cambio, si es privada todos los
usuarios podrán visualizar y acceder a su computadora.
La opción Permitir y Denegar, es una forma sencilla de configurar la forma de
compartir las carpetas de la computadora. Dependiendo de cómo este
configurado por defecto, será posible, a través de permitir la visualización de la
computadora y sus recursos. El caso contrario permite bloquear estos efectos.
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 91
Utilizando la opción de Compartir, se podrá cambiar el comportamiento en la
forma de compartir datos y recursos con otros usuarios de la red, como por
ejemplo, si la computadora a estará visible o no, si será necesario solicitar un
usuario con contraseña para acceder a sus recursos y habilitar o no las
impresoras o su contenidos multimedia para compartir.
Figura 31 El Centro de Red
4.7 El Firewall de Windows
Es una utilidad que sirve para controlar los programas que se ejecutan en la
computadora y requieren conexión con Internet, de tráfico entrante o saliente.
Esta aplicación ya se encontraba incorporada en Windows XP, aunque fue
mejorada a través del tiempo.
Figura 32 El Firewall de Windows
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 92
Cómo utilizar el Firewall de Windows
Desde la pantalla principal de Windows Firewall es posible seleccionar entre tres
opciones:
Activar (Recomendado): El Firewall de Windows estará activado y protegerá la
computadora de los posibles ataques externos, como la ejecución de programas
no autorizados que se conectan a Internet.
Bloquear a todo los Programas: Es un complemento de la primera opción.
Seleccionando esta opción, es posible comunicarse con Internet, aunque todos
los programas que requieran tráfico entrante y saliente serán bloqueados,
permitiendo excepciones que pueden ser configuradas.
Desactivar (No Recomendado): Esta opción debe ser seleccionada cuando se
suponga que la conexión a Internet es segura o exista otra aplicación que realice
la tarea del Firewall de Windows.
Figura 33 Pestaña General
Desde la solapa Exceptions de Windows Firewall, es posible:
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 93
Realizar excepciones de programas para que se comuniquen con
Internet.
Agregar programas que no estén en la lista por defecto.
Agregar puertos específicos para habilitarlos.
Figura 34 Pestaña Excepciones
Avanzados del Firewall. Aquí, es posible configurar las siguientes opciones:
Inicialización Seguro desde el botón Propiedades es posible configurar el
Firewall para que cree un registro sobre todo el tráfico que habilita o filtra.
ICMP: desde la opción de Propiedades, brinda la posibilidad de configurar la
respuesta que brinda la computadora a través de Internet sobre los pedidos
realizados desde otras computadoras.
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 94
Figura 35 Pestaña Avanzadas
4.8 Protección al Acceso a la Red (NAP)
El NAP Client Management snap-in para habilitar, deshabilitar, agregar o
suprimir a clientes de Network Access Protection (NAP). Un NAP Client es
responsable de solicitar el acceso a la red, de comunicar el estado de una
computadora al Servidor NAP al que se le está autorizando el acceso de red, y
de comunicar el estado de la conexión de la computadora del cliente a otros
componentes de la arquitectura NAP
Figura 36 Consola del NAP
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 95
Hay cuatro clientes incorporados de la aplicación que corresponden a los
siguientes mecanismos de acceso a la red:
Dynamic Host Configuration Protocol (DHCP): El cliente de DHCP
fuerza las políticas de estado cuando una computadora procura obtener
una dirección IP de un servidor de DHCP
Extensible Authentication Protocol (EAP): El cliente de EAP fuerza las
políticas de estado cuando una computadora procura tener acceso a una
red a través de una conexión inalámbrica 802.1x.
Remote access: El cliente del acceso remoto fuerza las políticas de
estado cuando una computadora procura acceder a la red a través de
una red privada virtual (VPN)
Internet Protocol security (IPsec): El cliente de IPsec fuerza las
políticas de estado cuando una computadora procura comunicarse con
otra computadora usando IPsec.
Para Implementar NAP en la organización se debe habilitar por lo menos a un
cliente NAP en las computadoras.
4.9 Control de Cuentas de Usuario (UAC)
UAC (User Account Control) es una nueva tecnología que facilita el control de
todo tipo de aplicaciones que son instaladas, utilizadas o desinstaladas.
Además, facilita la administración del escritorio y minimiza el impacto del
Malware.
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 96
UAC requiere que todos los usuarios utilicen las aplicaciones como usuarios
estándar. De esta manera, disminuye la necesidad de éstos de ser autorizados
por un administrador cada vez que se utilizan las aplicaciones.
En Windows Vista existen dos tipos de usuarios:
Usuario Estándar, que ejecutan aplicaciones que se encuentran en el grupo de
usuarios (Users Group).
Usuario Administrador, que ejecutan aplicaciones que se encuentran en el grupo
de administradores locales (Local Administrator Group).
Cuando un usuario desea utilizar una aplicación, ésta asocia su categoría de
usuario con los privilegios correspondientes a la misma. De esta forma, si el
usuario se encuentra en el grupo de administradores locales (Administrator
Group), se le otorgan los privilegios establecidos para ese grupo. Si, por el
contrario, pertenece a al grupo de usuarios (Users Group) se le aplican los
privilegios de este último.
Figura 37 Activación del UAC
Para la activación del UAC es clic en menú:
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 97
Inicio/Panel de Control/Seguridades/Comprobar el estado del equipo/Otras
Seguridades/UAC.
4.10 Protección de Información (Bit Locker)
BitLocker es una nueva característica de seguridad integrada en Windows Vista
que proporciona protección de los datos fuera de línea y del sistema operativo.
BitLocker asegura que los datos almacenados en una computadora no estén
siendo revelados si el sistema operativo se encuentra fuera de línea.
Figura 38 Funcionamiento del Bit Locker
Para su instalación se debe ejecutar el disco de Windows Vista y luego debemos
seleccionar Opciones de Recuperación del Sistema.
Figura 39 Particionar una unidad de disco para utilizar Bit Locker
La seguridad en Windows Vista
Tnlg. Anl. Walter Criollo M 98
Para iniciar Bit Locker vamos:
Inicio/Panel de Control/Seguridades/Encriptación del Dispositivo Bit Locker
Figura 40 Iniciando Bit Locker
Al encender el computador permite se inicializa la consola de Bit Locker para la
recuperación de datos con ayuda de una memoria flash que contiene la clave de
inicio y de recuperación.
Para detener el Bit Locker hacemos los mismos pasos para la activación.