Windows 7:Integración en entornos corporativos

Francisco Nogalfnogal@informatica64.com

Código: HOL-WS705

Agenda

►Integracion en dominio:RendimientoUnión al dominio en modo offlineBranchcache

►Integracion en dominio:SeguridadBitlockerApplockerPreferencias

►Integracion en dominio: AdministracionSuscripcionesArchivos sin conexión

Union al dominio Offline

►ProblemasUnir equipos al dominio requiere conectividad de

redRequiere reinicio para completar la acción

►SolucionSe habilita el preaprovisionamiento de cuentas de

equipoInformacion de cuenta de equipo es añadida a la

maquina mientras esta offline Procesos de la maquina añaden información al

arranque y se convierte en miembro de dominio sin conexion

DEMO

Modo offline

¿Por qué la redes WAN requieren un trato especial?

Latencia LAN < 1ms

Latencia en enlaces WAN• Retraso en la configuración• Retraso en la transferencia de datos• Degrada la experiencia del usuario

Los protocolos pueden recibir un límite de datos basado en el tamaño del buffer

Latencia WAN >100ms

RED

Remitente de Red

Receptor de Red

Aplicación Emisora

Aplicación Receptora

El protocolo debe adaptarse a las condiciones variables de la red

Reducir la utilización de la WAN

Factores de Rendimiento de la Red

Copia de Archivos en Sucursal

Windows Server 2008 R2

Slow WAN Link

Cliente 1 Cliente 2

Windows 7/Server 2008R2

Windows 7 Clients

Windows Server 2008

Slow WAN Link

Cliente 1 Cliente 2

Windows 7 / Server 2008

Vista SP1 Clients

Reducir la utilización de la red

Mejorar la experiencia del usuario

Mantener Encriptación Punto a Punto

Simplificar la administración e implementación

Introducción a BranchCache

Novedad en Win7 WS08R2

Get

GetID

Get

Data

BranchCache™ - Distributed Cache

Get

IDData

Data

Get

GetID

Put

Data

BranchCache™ - Hosted Cache

Get

DataID

Search

Get

Sear

ch

Request

Advertize

ID

ID

ID

Data

ID

Data

La cache de la sucursal está siempre disponible en un servidor WS2008R2 el cual trabaja a través de la subred IP

Implementación

IISFile Server

Group PolicyManagement

Instalar la funcionalidad de Servidor Web y Servidor de Archivos junto con BranchCache

Usar Políticas de Grupo para habilitar BranchCache en los clientes Windows 7

HostedCache

Opcionalmente, Instalar la cache hospedada en la sucursal. Configurar los clientes para usarla a través de GPOs

Arranque Seguro

►Tecnología que proporciona mayor seguridad utilizando “Trusted Platform Module” (TPM)

Integridad en el arranque

Protege los datos si el sistema esta “Off-line”

Facilidad para el reciclado de equipos

►Trusted Platform Module (TPM) v1.2 Hardware integrado en el equipo. Ejemplo- Un Chip en la Placa Base

Almacena credenciales de forma segura, como la clave privada de un certificado de maquina

Arranque Seguro

Capacidad de cifrado. Tiene la funcionalidad de una SmartCard

Se usa para solicitud de firma digital de código o ficheros y para autenticación mutua de dispositivos

►Firmware (BIOS Convencional o EFI BIOS) – Compatible con TCG

Establece la cadena de confianza para el pre-arranque del SO

Debe de soportar las especificaciones TCG “Static Root Trust Measurement” (SRTM)

►Ver: www.trustedcomputinggroup.org

Arquitectura Arranque Seguro

BitLocker Drive Encryption

►BDE cifra y firma todo el contenido del Disco Duro►El chip TPM proporciona la gestión de claves►Por lo tanto

Cualquier modificación de los datos, no autorizada realizada “off-line” es descubierta y el acceso es denegado

Nos previene de ataques que utilizan herramientas que acceden al disco duro cuando Windows no se esta ejecutando.

Protección contra el robo de datos cuando se pierde o te roban el equipo

Parte esencial del arranque seguro

Diseño del Disco

El Volumen del SO contiene:• SO cifrado• Ficheros de Paginación cifrados• Ficheros temporales cifrados• Datos Cifrados• Fichero de hibernación cifrado La partición de sistema

contiene:Utilidades de Arranque(Sin cifrar, ~450MB)

MBR

AppLocker en Windows 7

Problemática con Applicaciones►Aumento en el coste de soporte debido a

Applicaciones/Versiones no soportadasEntornos no estandarizados

►Problemas de licenciamiento de softwareApplicaciones no lincenciadasEnd user license agreements (EULA)

►Problemas de hurto digitalMalwareTroyanosIngeniería social

Formas de protección

►Formas tradicionalesUso de Usuarios Normales, autenticación fuerte, …Anti-virus, firewall, IDS, …Control de acceso a datos por políticas

Access Control Policies (ACLs)DRM, encriptación, …

►Sin embargo… Cualquier software que esté ejecutandose por un usuario

tiene los mismos permisos a los datos que el propio usuario

AppLocker en Windows 7

►Mejora la gestiónMejora experiencia de usuarioGeneración de reglas automáticasSoporte para Auditorías de políticasSoporte para PowerShell

►Implementado en modo Kernel

Mejora de la GestiónNueva experiencia de Usuario

Mejora de la Gestión Autogeneración de Reglas

Microsoft Confidential

Mejora de la Gestión Reglas de Publicación

Microsoft Confidential

Mejora de la Gestión►Implementación simplificada con el modo Audit-Only►Excepciones►Condiciones de Usuarios dentro de Reglas►Mensajes de Error personalizados

Nodo Preferencias Politicas de Grupo

Aumenta las capacidades de administracion de escritorios

Disponible bajo Configuracion de Equipo y usuario

Estandarizacion

Reduce scripting(

Nodo Preferencias

carpetas

Archivos

Mapeado de unidades

Configuraciones regionales

Accesos directos

Registro

Ejemplos

¿Preguntas?

Boletín Quincenal Informatica64

Contactos

►Informática 64

http://www.informatica64.com

i64@informatica64.com

+34 91 146 20 00

►Francisco Nogal

fnogal@informatica64.com