Windows Server 2008: Identidad y Acceso
Hoy en día la administración de las identidades de usuario es prioritaria para muchos negocios. La gente necesita acceder a distintos sistemas y recursos de la red corporativa, a partir de distintos tipos de dispositivos. Pero como muchos de estos sistemas no se comunican entre sí, una misma persona suele utilizar distintas identidades. Como resultado, la administración de estas identidades redundantes se convierte en una tarea compleja, además de provocar pérdidas de tiempo y más riesgos de seguridad debidos a errores.
Las soluciones Microsoft Identity y Access conforman un junto de tecnologías y productos diseñados para que las organizaciones puedan usar identidades y privilegios de acceso asociados. Concentradas en cuestiones de seguridad y de facilidad de uso, estas soluciones ayudan a que los negocios aumenten su productividad, reduzcan sus costos TI y eliminen la complejidad de identidades y de accesos. Las soluciones Microsoft Identity y Access se aplican a las cinco áreas siguientes:
| • | Servicios de Directorio : Simplifica la administración de usuarios y dispositivos. |
| • | Sólida Autentificación : Acceso seguro más allá de los nombres de usuario y las claves. |
| • | Identidades Federadas : Colabora en forma segura más allá de los límites de la organización. |
| • | Protección de Información : Protege los datos confidenciales sin importar dónde vayan. |
| • | Administración del Ciclo de Vida de las Identidades : Automatiza la administración de identidades y accesos. |
Microsoft Windows Server 2008 se expande sobre las bases de Microsoft Identity y de Access con varias funciones y tecnologías nuevas que ayudan a las organizaciones a mejorar su eficiencia operativa, simplificar el cumplimiento de las políticas corporativas, y fortalecer las medidas de seguridad.
En esta página
 | Novedades en los Servicios de Directorio |
| Novedades de la Autentificación Sólida |
| Novedades sobre la Protección de la Información |
Novedades en los Servicios de Directorio
Controladores de Dominio de Sólo Lectura: En Windows Server 2008, una de las funciones más significativas de los Servicios de Dominio de Active Directory –en inglés Active Directory Domain Services (AD DS)–¬ es el Controlador de Dominios de Sólo Lectura o, en inglés, Read-Only Domain Controller (RODC). Un RODC permite instalar fácilmente un controlador de dominios que hospeda una réplica de sólo lectura de la base de datos del dominio. Esto favorece a las ubicaciones donde no puede garantizarse la seguridad física del controlador de dominios, donde la conectividad de la red puede causar un impacto negativo en la productividad, o donde otras aplicaciones deben ejecutarse en el controlador de dominios y mantenerse bajo la responsabilidad de un administrador del servidor (que, en teoría, no es miembro del grupo de Administradores de Dominio).
Un RODC opera con los mismos objetos y atributos que un controlador de dominios que admite escritura. Sin embargo, los cambios originados localmente no son hechos para la réplica del RODC, sino para un controlador de dominios que admita la escritura. Luego son replicados en el RODC. Esto evita la eventual corrupción de los bosques de AD ocurrida a partir de las réplicas.
Los administradores también pueden configurar específicamente un RODC para almacenar (en caché) credenciales de usuario. La primera vez que un usuario intenta autentificar ante un RODC, el RODC reenvía la solicitud a un controlador de dominios que admite escritura. Si la autentificación es exitosa, el RODC también solicita una copia de las credenciales de usuario. La Política de Réplica de Claves determina si las credenciales pueden ser replicadas y almacenadas en el RODC. Si las credenciales se encuentran almacenadas, cuando un usuario ingrese por primera vez, la solicitud será tratada por el RODC hasta que se le notifique –a través de la réplica– algún cambio de credencial. El almacenamiento de credenciales puede aumentar la productividad del usuario final al migrar los efectos de la latencia de la WAN o los inconvenientes de conexión de la red que suelen afectar a las sucursales. AD DS también conserva una lista de todas las credenciales guardadas en los RODCs y, si algún RODC llega a quedar involucrado, un administrador puede forzar la reactivación de una clave para todas las credenciales de usuarios almacenadas en ese RODC.
Los RODCs incluyen una función de promoción delegada que permite que la instalación y la administración sean delegadas a personal no-administrativo de una sucursal. El personal de las sucursales puede llevar a cabo una instalación al asociar un servidor a la cuenta de RODC creada previamente por un administrador. Esta función elimina la necesidad de utilizar un sitio de prueba, o de enviar CDs de instalación y un administrador de dominios a la sucursal en cuestión.
Servicios de Federación de Active Directory: Los Servicios de Federación de Active Directory –en inglés Active Directory Federation Services (AD FS)¬ son otro rol de servidor perteneciente al sistema operativo de Windows Server 2008. Usted puede recurrir a los AD FS para crear una solución de acceso de identidades segura, altamente extensible, y escalable en Internet, capaz de operar en distintas plataformas, incluyendo entornos con y sin Windows. Ahora AD FS posee una función que permite importar/exportar políticas, y que facilita el establecimiento de una relación confiable entre socios federados. Existe un proveedor de membresías que otorga una autorización basada en roles para WSS (Windows SharePoint Services) y RMS (Rights Management Services), para usuarios socios federados. Ahora los administradores pueden limitar la instalación del servicio de federación a través de las Políticas de Grupo. Ahora el sistema también ofrece una configuración capaz de verificar la revocación de distintos tipos de certificados.
Auditoría de los Servicios de Directorio: : Ahora los administradores cuentan con capacidades de auditoría gracias a la nueva subcategoría de política de auditoría denominada Directory Service Changes o Cambios del Servicio de Directorio. Esta política captura los valores viejos y nuevos de cambios aplicados a los objetos y a los atributos del Servicio de Directorio. Los administradores sabrán exactamente quién realizó algún cambio, cuándo lo hizo, qué objeto y/o atributo cambió, y cuáles fueron los valores primeros y últimos. La auditoría del Servicio de Directorio se captura en el Windows Event Log, y puede consolidarse a través del Microsoft Operations Manager o de herramientas creadas por terceros. Este nivel detallado de ingreso ayuda a simplificar el registro de la administración del Servicio de Directorio, y permite manejar la conformidad regulatoria de la organización.
Rol de Server Core: AD DS y AD LDS (Active Directory Lightweight Directory Services) son roles admitidos por las instalaciones de Server Core en Windows Server 2008. Server Core es una nueva opción de instalación que crea un entorno de bajo mantenimiento, ideal para servicios específicos basados en roles. Server Core fue pensado para reducir los requisitos de administración y servicio, y para limitar las áreas vulnerables de la instalación de Windows Server 2008.
Lea más sobre Server Core .
Servicio AD DS: AD DS es un servicio base de Windows Server 2008 que puede ser suspendido y reiniciado a través de los snap-ins de la Consola de Administración de Microsoft –Microsoft Management Console (MMC) en inglés– o desde la línea de comando. AD DS simplifica la administración al reducir el tiempo requerido para ejecutar operaciones offline, como la defragmentación offilne. También mejora la disponibilidad de otros servicios ejecutados en un controlador de dominios, al manteneros activos mientras se ejecuta el mantenimiento de AD DS. Cualquier cliente específicamente ligado a un controlador de dominios detenido podría contactarse simplemente con otro controlador de dominio.
Visor de Capturas de AD DS: Al exponer información sobre objetos en capturas de AD DS (tomadas después de tiempo), este visor permite identificar objetos que fueron borrados accidentalmente. Estas capturas pueden verse en un controlador de dominios sin necesidad de iniciarlo en el Modo de Restauración de los Servicios del Directorio. Al comparar distintos estados de los objetos tal como aparecen en distintas capturas, usted puede decidir más fácilmente que backup de AD DS utilizar para restaurar los objetos eliminados.
Política de bloqueo de cuentas y claves: Estas políticas permiten, por un lado, la especificación de distintas políticas referidas a claves y, por el otro, la aplicación de distintas restricciones de claves y políticas de bloqueo a diferentes grupos de usuarios ubicados en un mismo dominio.
Instalación desde CDs/DVDs: La opción Instalación desde CDs/DVDs –Install From Media (IFM)¬ en inglés– sirve para instalar un controlador de dominios suplementario en un dominio ya existente, y para minimizar el tráfico de réplicas durante la instalación.
Novedades de la Autentificación Sólida
Cryptography API: Next Generation: Criptografía API: En Windows Server 2008 la Nueva Generación (CNG) es una interfaz de programación de aplicaciones –o Application Programming Interface (API)– completamente nueva que implementa la recomendación de protocolos Suite B de la National Security Agency. Los Active Directory Certificate Services (AD CS) recurren a la CNG en función de sus necesidades criptográficas. La CNG efectúa un reemplazo a largo plazo para la CryptoAPI de versiones anteriores de Windows.
En AD CS, los algoritmos criptográficos clásicos todavía encuentran soporte en los proveedores de servicios certificados –Certificate Service Providers (CSPs)– mientras los algoritmos criptográficos nuevos, como la criptografía curva elíptica –o Elliptic Curve Cryptography (ECC)– encuentran soporte en los proveedores clave de CNG s. Una de las funciones únicas de CNG ofrece la posibilidad de recurrir a algoritmos criptográficos personalizados tal como se los necesita.
Modelo de administración granular: AD CS utiliza nuevas funciones de seguridad que permiten controlar quién se registra para obtener certificados, qué certificados, y quién puede otorgar los certificados. Estas funciones de administración integran los grupos de seguridad de AD DS a las tareas de administración llevadas a cabo por los agentes de inscripción y por los Administradores de Certificados.
Plantillas de certificado V3: En AD CS, las plantillas correspondientes al certificado V3 reemplazan a las plantillas de los certificados V1 y V2 incluidas en versiones anteriores de Windows; admiten los últimos algoritmos criptográficos de la CNG de Windows Server 2008. Las plantillas V3 también ofrecen un método más seguro para la validación de controladores de dominios, y puede encriptar comunicaciones cliente y servidor relacionadas con AD CS.
Administración de la Infraestructura de Public Key Infrastructure (PKI): PKIView, disponible como parte del Kit de Recursos de Windows Server 2003, ahora forma parte como snap-in de MMC con la instalación de AD CS en Windows Server 2008.
PKIView simplifica la administración del PKI de una empresa, combinando las tareas de administración de Certificados de Autoridad (CA) en una interfaz administrativa única. Esta visión consolidada elimina los límites geográficos al ofrecer un soporte globalizado a través de Unicode. A través de la interfaz consolidada, los administradores cuentan con:
| • | Una visión única y jerarquizada de la infraestructura del PKI que se registra con, y participa en, una topología AD DS. |
| • | Una vista con relación padre/hijo: cuando se elige una raíz CA en particular, todos los CAs aparecen detallados en el árbol de la raíz. |
| • | La posibilidad de administrar directamente cada nodo dentro de la interfaz. |
| • | Indicadores con códigos a color que señalan el estado general de los CAs, de los árboles o del PKI corporativo como una totalidad. |
Soporte para los últimos estándares: En Windows Server 2008 AD CS le ofrece soporte a los últimos estándares, incluyendo el OCSP (Online Certificate Status Protocol), la IDP CRL (Issuing Distribution Point Extension), y el SCEP (Simple Certificate Enrollment Protocol).
Novedades sobre la Protección de la Información
Colaboración federada: Windows Server 2008 ofrece la primera implementación de la solución completamente integrada Federated Rights Management Services. Esta integración combina los aspectos de AD FS (Active Directory Federation Services) con los de AD RMS (Active Directory Rights Management Services) y ofrece un marco de colaboración externo fácilmente instalable.
Antes de Windows Server 2008, la colaboración con derechos protegidos que se establece con organizaciones externas exigía que los administradores TI mantuvieran de manera interna un conjunto secundario de credenciales que pudieran ser utilizadas por usuarios externos. Éstas eran cuentas de dominio típicas o alguna forma de integración de Passport. Ahora, con la integración entre funciones de AD RMS y AD FS, los usuarios externos que pretendan acceder a contenido protegido por una organización serán inicialmente autentificado por su "controlador de dominios”. Por lo tanto, se eliminará la necesidad de mantener un conjunto redundante de credenciales.
Una vez que estos usuarios externos son autentificados, las políticas AD RMS se refuerzan, y AD RMS le ofrece automáticamente al usuario externo licencias de contenido para trabajar con el contenido protegido de una organización. Los administradores controlan la manera en que estos usuarios externos interactúan con el contenido de una organización, y también pueden definir las plantillas necesarias para aplicar a distintas relaciones de socios. En Windows Server 2008, Federated Rights Management Services es totalmente compatible con las instalaciones actuales de Microsoft Office SharePoint Server 2007 y admite a clientes AD RMSs.
Tema frecuente de administración: AD RMS permite la transición a un marco de administración más conocido. La interfaz administrativa web AD RMS del pasado se traslada al snap-in de MMC. Por otra parte, la administración de AD RMS se convierte en una tarea más prescriptiva, con una interfaz orientada a tareas, que provee links rápidos a tareas de configuración requeridas, recomendadas y optativas. Cuatro nuevo grupos de seguridad permiten que los administradores deleguen las tareas de administración AD RMS a grupos o usuarios específicos.
Windows BitLocker™ Drive Encryption: Windows BitLocker Drive Encryption es una función protectora de datos disponible en Windows Vista Enterprise y Windows Vista Ultimate para computadoras cliente, y en todas las versiones de Windows Server 2008. Windows BitLocker Drive Encryption enfrenta las amenazas más concretas de robo o pérdida de datos.
Windows BitLocker Drive Encryption evita la irrupción de hackers en los archivos y en el sistema operativo de Windows Server 2008; también impide que agentes externos no autorizados vean de manera offline los archivos almacenados en cualquier ubicación protegida. En principio la función utiliza Trusted Platform Module (TPM) 1.2 para proteger los datos comprometidos y para asegurar que nadie haya ingresado a una computadora con Windows Server 2008 mientras el sistema se encontraba offline. Windows BitLocker Drive Encryption mejora la protección de datos al combinar dos subfunciones sumamente importantes: la encriptación total de los discos y la verificación de la integridad de los componentes de inicio temprano.
Lea más sobre Windows BitLocker Drive Encryption .