Debo decirlo; como buen MVP que soy no soy precisamente el fanático más devoto de todo lo que haga Microsoft. Y por lo mismo siempre me he definido como un ácido crítico de Windows Vista. Y con la llegada de Windows 7, había decidido esperar (no soy muy amigo de usar los Beta al contrario que otros colegas MVP). Sin embargo, entre la sumatoria de excelentes comentarios recibidos por muchísimos colegas – muchos de ellos críticos de Vista mucho más ácidos que yo – y el feble rendimiento de mi ya desgastado sistema operativo, decidí este fin de semana tirarme a la aventura y gastar un día para cambiar mi sistema operativo de escritorio.

Y que les puedo decir: Aplauso cerrado para Microsoft, señores. Hasta ahora, que tengo el 90% del software que uso a diario instalado (me faltan una que otra cosilla), prácticamente todo ha funcionado a la perfección. Y antes de dar paso a las alabanzas, les anoto el único problema con el que me he encontrado hasta el momento: Mi equipo no vuelve de dormir, es decir, cuando lo pongo en modo sleep y trato de volver a trabajar, la pantalla queda negra y me veo obligado a apagar y prender el equipo. Sin embargo, el sorprendente – hasta ahora – tiempo que demora en encender el equipo (un minuto a lo más v/s los casi 6 minutos de mi desgastado Vista) hace que este problema – por ahora – sea menor; basta con hacer unos pequeños ajustes a la configuración de energía y usar la opción de hibernación -  que también es sorprendentemente rápida – y listo.

Vamos a lo bueno.

Los Drivers

Lo primero que resalta a la vista del proceso de instalación de Windows 7 – que es ligeramente más corto que el de Vista – es el reconocimiento de Drivers. El sistema instaló sin problemas de manera predeterminada Audio, Video y Red (alambrada e inalámbrica), para luego de ir a un par de links instalar y dejar operativos mi lector de tarjetas y el lector de huellas digitales, algo que ni Windows 2008 pudo hacer (seamos justos, Windows 2008 no es un sistema como para darle ese uso). Y ¿por qué resalta tanto la diferencia en la facilidad para contar con los drivers en relación a Windows Vista? Sencillamente porque Windows Vista tuvo que hacer el trabajo sucio en este sentido. Windows Vista cambió radicalmente su manera de tratar los drivers en relación a Windows XP, por lo que hubo todo un proceso de adaptación por parte de los fabricantes. Esto no debería pasar con Windows 7 puesto que este sistema operativo hereda los modelos de manejo de software de su predecesor.

Compatibilidad con los programas

Este también es un buen punto. El único programa que no pude instalar fue Daemon Tools (caía en un loop tratando de instalar el driver que hace funcionar la herramienta de simulación de dispositivos ópticos. Sin embargo, todos los programas con los que frecuentemente trabajo se instalaron sin problemas y funcionan sin mayores inconvenientes.

UAC, a un precio razonable

Tengo un dicho muy entretenido sobre la seguridad: “Cualquier medida de seguridad es impopular por defecto”. Y cuando las medidas son demasiado estrictas y se aplican a usuarios poco conscientes de la seguridad de la información, estos terminan quejándose y evadiendo las medidas. Y esto pasó con User Account Control en Windows Vista. Ahora en Windows 7, UAC permite al usuario configurar en 4 niveles el grado de alertas que provee el mecanismo de seguridad. Bajando en uno el nivel por defecto, el número de advertencias disminuye notablemente sin tener que sacrificar la seguridad que UAC ofrece.

Consumo de recursos

Sobre este punto prefiero ser un poco más escéptico. El gran desafío de los sistemas operativos ante el consumo de recursos es la degradación dada por el constante uso, instalaciones, desinstalaciones y actualizaciones de programas. Toda escoba buena barre bien y hasta ahora Windows 7 con todos mis programas en ejecución está consumiendo más o menos 200 o 300 MB menos de memoria, aparte de disminuir ligeramente el consumo de CPU. Esto no quiere decir que el sistema operativo corra en un P2; igual consume 1GB de RAM en condiciones intermedias de carga.

Internet Explorer 8

Ya me había tocado usar un poco el IE8 desde mi Windows 2008. IE8 trae nuevas funcionalidades, muchas de ellas orientadas a la seguridad y que espero cubrir en un próximo review.

Experiencia de usuario

Hasta ahora, Windows 7 me ha parecido un sistema operativo muy amable en el uso. La nueva organización de la barra de tareas es mucho más amigable y la vista previa de las aplicaciones que están en la misma es bastante útil. Además usé ya el reproductor de Windows Media, que viene en un formato muy sobrio y agradable a la vista. Existen ligeros cambios en la organización del explorador de Windows, orientadas siempre a la comodidad del usuario. En ese sentido, Windows 7 sigue la línea de evolución de Windows Vista, haciendo que el cambio sea mucho menos traumático que el de Windows XP a Vista.

En líneas generales, lo vuelvo a repetir: Aplauso cerrado para Microsoft por esta beta de Windows 7, que no hace otra cosa que abrir el apetito y hacer más larga la espera para su versión final. Ahora viene el gran desafío; ver como se porta este sistema operativo a través del tiempo, cual es su tiempo de degradación y de que manera se degrada. Para ello, un post en un par de meses más.

Mi hardware:

Toshiba Satellite A135-S4487

4.0 GB de RAM (Reconoce 3)

Core 2 Dúo T5500 1,66 Ghz

2 Discos Duros SATA (220GB en total)

Tarjeta de Red inalámbrica Intel 802.1g

Tarjeta de Red Ethernet 10/100/1000

Mi Software:

Windows 2008 Beta 1, Ultimate Edition (y todo lo que incluye)

Office 2007 (Word, Excel, PowerPoint, Outlook, Visio, Project, Communicator)

MSAT 4.0

Microsoft E-Learning Offline Player

Microsoft Virtual Server 2005 R2 SP1 + VMRC Plus

Windows Live (Mail, Messenger, Writer, Call, Galería Fotográfica)

Adobe Reader 9

BS Player 2.35 Free

Winamp 5.541

Gmail Notifier

Opera (No es mi navegador x defecto, jeje)

• El cliente ideal. Es aquel cliente que tiene total disposición a aprender, apoyar y cooperar con el desarrollo exitoso de un proyecto. Si aparece algún problema, en vez de reclamar o poner trabas, busca soluciones y muchas veces las encuentra. Un cliente con el que da gusto trabajar.
• El cliente piola. Se caracteriza por dejar que uno realice el trabajo y que confía plenamente en las capacidades del consultor que contrató. Le facilita todas las herramientas de trabajo, no se queja y cuando aparece un problema lo informa y observa o pregunta mientras uno resuelve. Muy parecido al cliente ideal, tiene interés en lo que se realiza y trata de aprender a la par del trabajo de uno.
• El cliente "me lo sé todo". Este suele ser desagradable. Un tipo que cree sabérselas todas, que cuando sucede un problema te contradice y empieza a meter las manos, cambia los diseños a destajo porque según el es lo mejor. Uno se pregunta para qué pidieron un consultor si saben tanto.
• El cliente "lo quiero más barato". El típico cliente que está super entusiasmado con lo que se le ofrece pero busca y rebusca maneras para abaratar los costos, poniendo muchas veces en peligro la integridad y consistencia de las actividades. Es super frecuente!
• El cliente "se me olvidó". Generalmente uno llega a trabajar, luego de haber mandado correos y correos con las necesidades técnicas para trabajar, te dicen que está todo ok y cuando llegas... sorpresa! Se les olvidó tener todo listo. Al final pierdes toda la mañana en algo que debían tener listo.
• El cliente "yo no te pedí esto". Campeones para cambiar el alcance de los proyectos, siempre terminan solicitando otra cosa. Los típicos clientes que hay que visitarlos con grabadora en mano para protegerse.
• El cliente "ayúdame con esto otro". Peligrosos al máximo. Uno va a revisar un antivirus y termina revisan el ISA, el Active Directory y quizá que cosa más... y si uno no los ayuda termina reclamando por mala disposición.
• El cliente "al p2". No se caracteriza por su diligencia. No le preocupa ni parece interesarle el desarrollo del proyecto, hasta que queda algún problema y terminan echándole la culpa al proveedor.
• El pesadilla. El cliente al cual uno no quiere enfrentarse nunca. Pone todas las trabas posibles al trabajo. No sabe nada y espera que uno haga absolutamente todo, hasta lo que el debe hacer. Más encima reclama por todo, exige todo para antes de ayer y más encima siempre tiene un comentario desagradable para decir.

Espero sus comentarios y aportes

El Virtual Stic ( School technical Innovation Center ) ( http://www.vstic.com )es una comunidad de educadores de latino América, el cual consta en la publicación de metodologías educativas aplicadas a tecnologías en el aula de clases.

Como objetivo tiene el mejoramiento de la calidad educacional, disminuir la deserción escolar, formar a los futuros investigadores del futuro los cuales harán crecer sus respectivos países de Latinoamérica, con los conocimientos adquiridos previamente en sus escuelas y universidades.

Esta comunidad centralizará documentación la cual podrá ser descargada y utilizada por los educadores de toda América latina, pudiendo entregar la retroalimentación necesaria de los resultados de tales estrategias educativas.

El Virtual Stic, está abierta a cualquier educador que desee mejorar u ampliar sus conocimientos metodológicos en educación escolar o superior universitaria.

Este consta de ranking de publicaciones, reuniones virtuales, correo interno, links relacionados, descarga de productos educativos.

Únase a nosotros hoy!

Contáctese con lsilva@live.cl

"Formando los investigadores y profesionales del futuro”

... Y seguimos con el saldo de deudas.

Bueno, otra asignatura pendiente que tenía hace mucho tiempo era el tema de las certificaciones. Por alguna razón, siempre le hice el quite a los exámenenes de certificación. ¿Por qué? Yo creo que principalmente un asunto de confianza, de tener miedo al fracaso. Pues bien, un día dije "basta" y recordando las sabias palabras de mi amigo y compañero MVP Gonzalo Balladares - "Certifica lo que ya sabes" - partí a New Horizons y sin programación previa rendí el examen 70-290: MCP Windows 2003.

Y bien, pasé el examen con 960 puntos . Así que ahora tengo mi primer MCP.

Mis primeros pasos con ISA Server

Las cosas de la vida. El MVP de Security es un arma de doble filo, toda vez que un "experto en seguridad" debería - debería - ser experto en todo lo que implique seguridad. O al menos, eso es lo que la gente cree.

Sin embargo, la seguridad es un tema absolutamente transversal, y difícilmente uno puede llegar a ser un "experto en seguridad". Hay que saber de seguridad física, de seguridad perimetral, de protección de datos, de hardening de sistemas operativos y de aplicaciones, y de seguridad en procedimientos y cultura organizacional. Generalmente, una persona ligada a la seguridad se especializa en uno o dos temas. En mi caso, el hardening y la cultura organizacional.

Además, la naturaleza de mi competencia no está asociada a producto alguno. Por eso, cuando hace pocos meses partí en este bonito desafío de ser "consultor en seguridad", muchos se asombraron al ver que no tenía experiencia práctica en productos de seguidad como ISA Server o ForeFront.

Pues bien, como no hay plazo que no se cumpla ni deuda que no se pague, he tenido que comenzar a trabajar con este tipo de productos. Aquí les comparto con ustedes uno de mis primeros "triunfos" con ISA Server, solucionando con Juanito Valenzuela (MVP de SharePoint) una problemática real de un cliente sobre ISA y un novedoso producto llamado Photosynth.

Charla de Hardening de servicios 1: Una bonita experiencia, pero...

La segunda charla de este ciclo que se realizó hace vacias semanas (había olvidado colocar esta entrada en el blog!) marcó una de mis presentaciones más técnicas desde que soy conferencista de Microsoft. Presentamos, junto a Oscar Soto e Isabel de la Barra (que insistentemente me ha pedido las fotos del evento! ) el tema de hardening de servicios en Windows 2008, donde se tocaron temas como DCHP, DNS, File Server y otros, siempre sobre 2008.

En resumen, una presentación bastante sólida en un día que difícilmente olvidaré. Y no lo olvidaré por esas ironías de la vida de un hombre dedicado a la seguridad informática: Camino al terminal me pegaron un "lanzazo" y me robaron el celular. Una experiencia que resalta lo importante de adoptar las buenas prácticas en nuestra vida diaria.

Les dejo las fotos (Si, Isa, las fotos!) del evento.

De vuelta a las pistas, segunda parte

6 Meses después de la última conferencia presencial (han habido algunos Webcast de por medio) me tocó volver a las tablas, lo cual ciertamente me agrada mucho.

Y es que ayer presenté con mi colega y amigo personal Oscar Soto (MVP en Directory Services) la primera conferencia del ciclo de 8 charlas de Hardening que organizó nuestro también amigo y colega MVP Gonzalo Balladares (MVP en Exchange).

En cerca de 3 horas, repasamos temas como conceptos clave de hardening, la aplicación de Guías de seguridad, Windows 2008 más seguro por defecto, mejoras en políticas, server core, server manager y buenas prácticas.

Cerca de 50 asistentes, entre los cuales destaco a los alumnos del DUOC que fueron por iniciativa del profesor Salinas y gente de A-Core (la empresa de nuestro amigo Pablo Hurtado) que participaron activamente de la presentación.

Les dejo las fotos del evento

MSAT: Microsoft Security Assesment Tool

Una de las necesidades crecientes en las organizaciones pequeñas y medianas que han comenzado a preocuparse seriamente de la seguridad en sus instalaciones, operaciones y personal es el conocer el real estado de seguridad que ellas poseen en la actualidad. En otras palabras, para las empresas que quieren crear un camino integral de evolución a la seguridad, es fundamental conocer cual es su punto de partida, de tal manera de tener claro cuales son los focos de atención en los cuales deben invertir sus recursos a corto y mediano plazo en cuanto a seguridad de la información.

Este concepto, llamado análisis de seguridad, se puede atacar desde varios enfoques o puntos de vista. Uno de ellos es hacer derechamente un test de penetración (Penetration Testing), el cual consiste en una serie de pruebas con distintos grados de intrusión, de tal manera de conocer los puntos débiles de seguridad desde el punto de vista del atacante. Esta vía de acción debe ser tomada con mucho cuidado, considerando que las pruebas a realizar deben ser acordadas de manera previa entre el encargado de realizar las pruebas y el responsable de la organización que será sometida a las mismas. Si estos acuerdos no son tomados y formalizados previamente, la organización podría verse sometida a una problemática de seguridad importante, o en el mejor de los casos, levantar alertas y contramedidas que podrían afectar directa o indirectamente la producción.

Otra manera de enfocar el análisis de seguridad es abordar la visión del defensor, o del administrador de seguridad de la compañía. Bajo este prisma, el análisis de seguridad se transforma en un levantamiento de riesgos, que busca detectar todos aquellos puntos donde el almacenamiento, uso y manejo de la información se torna crítico y definir las medidas de seguridad que están asociadas a dichos puntos. Una vez que se realiza este levantamiento, se debe comparar con las buenas prácticas de seguridad, que pueden estar basadas en normativas de seguridad o en las recomendaciones que los proveedores tecnológicos sugieren para sus diferentes productos.

Esto genera algo que es conocido como "GAP Análisis" o "Análisis de brecha de seguridad", el cual le entrega a la organización el grado de diferencia existente entre las buenas prácticas o la norma tomada como base y lo que actualmente está implementado en la organización. Así, un GAP Análisis permite al encargado de seguridad de la organización identificar los focos más importantes de riesgo y así poder tomar decisiones sobre como disminuir de manera efectiva la brecha de seguridad detectada en el análisis de acuerdo a los recursos físicos, tecnológicos o humanos que el posea.

Existen varias metodologías para realizar estos análisis de seguridad. Dentro de las metodologías del tipo "Penetration Testing" destaca la metodología Open Source OSSTMM (http://www.osstmm.org) de ISECOM, la cual tiene reputación internacional y que está actualmente en proceso final de desarrollo de su versión 3.0 (de hecho ya está disponible la versión 3.0 Lite). Esta metodología, que de hecho está asociada a certificaciones internacionales, fue creación de Pete Herzog y propone una serie de test orientados a diversos ámbitos físicos, tecnológicos y humanos que permitan tener una visión global de la seguridad.  Otras metodologías podrían considerar la realización de GAP Análisis basado en la normativa ISO 27001 o ISO 27002 (de hecho, una breve búsqueda por Internet puede demostrar que empresas como Praxiom Research - htto://www.praxiom.com/iso-27001-gap.htm - tiene desarrollo en dicho tipo de herramientas).

Dentro de la búsqueda de una herramienta que me permitiera tener una guía clara para realizar análisis de seguridad (soy consultor en el área) encontré una herramienta gratuita de Microsoft, que luego de revisarla un par de horas a fondo se terminó transformando en el camino de ladrillos amarillos que me llevaría a la magia del análisis de seguridad. Esta herramienta se llama MSAT (Microsoft Security Assesment Tool) y permite realizar un análisis de seguridad basado en la metodología de caja blanca, es decir, conociendo la realidad de la organización a ser analizada y sacando conclusiones del estudio de dicha realidad.

MSAT es en sí un completo cuestionario, basado en las recomendaciones de normativas como la ISO 17799 (hoy ISO 27002) y NIST 800.x, el cual fue desarrollado por un conjunto de profesionales de la seguridad con amplia experiencia en el mercado y apoyado por partners de Microsoft y organizaciones como diversos CERT (Computer Emergency Response Team) existentes en el mundo. Este cuestionario está dividido en dos partes; la primera de ellas permite obtener el grado de riesgos a los cuales está expuesta la organización analizada (BRG) en base al tamaño, orientación y función de negocio que cumpla ésta dentro del mercado. La segunda parte busca obtener el índice de defensa en profundidad (DiDI) basado en la existencia de medidas de seguridad por parte de la organización en los más variados aspectos de seguridad, partiendo por el perímetro de red y llegando hasta las personas, pasando por conceptos clave como la política de seguridad, los sistemas de respaldo y de actualizaciones, el control de acceso físico y el manejo de contraseñas, entre otros.

Una vez que se resuelve completamente el cuestionario, MSAT genera un completo informe que contrasta los BRG con los DiDI en 4 áreas: Personal, Operaciones, Aplicaciones e Infraestructura, indicando además el grado de madurez de la seguridad por área. MSAT además ordena por nivel de prioridad todas las medidas de seguridad que la organización debería aplicar a corto y mediano plazo para disminuir la brecha de seguridad existente en la actualidad, además de un completo reporte en cada uno de los puntos analizados, indicando las buenas prácticas de seguridad y los próximos pasos a seguir, generando de esta manera un roadmap integral para la organización que permita evolucionar la seguridad de la información y así disminuir el riesgo actual.

La pregunta que cabe hacerse es... ¿Cómo complementar MSAT? El valor agregado que el consultor de seguridad debe tener en relación al uso de MSAT se basa en la manera de resolver este cuestionario. Lo ideal en este punto es que el consultor sea capaz de resolver las preguntas que plantea MSAT en base al conocimiento que el mismo adquiera en la etapa de levantamiento o recolección de datos de la organización. De esta manera, un buen análisis de MSAT no debería considerar ninguna respuesta como "No sé". Todas las preguntas deben ser respondidas con total certeza y basadas en la realidad de la organización. Es labor además de un buen consultor de seguridad complementar el resultado del análisis con su propia experiencia y poder aterrizar el reporte a la realidad de la organización analizada, a fin de poder resolver de manera real las problemáticas que salgan a la luz una vez realizado el análisis de seguridad.

Sin duda, MSAT es una gran guía para la realización de un análisis de seguridad. La manera integral en que esta herramienta abarca el estudio de la seguridad de una organización no deja prácticamente ningún punto al azar; bajo esta premisa, MSAT logra un enfoque holístico de la seguridad, lo cual es absolutamente valioso y requerido en la ejecución de este tipo de análisis. ¡Todo un acierto del gigante de la informática!

La importancia de la visión y compromiso de la gerencia en la seguridad

Remando para el mismo lado

El trabajo de un hombre de seguridad es a ratos ingrata. Y es por sobre todo ingrata cuando uno trata de implementar soluciones integrales de seguridad, que abarquen transversalmente a toda una organización.

La seguridad por lo general está asociada a restricciones, limitaciones y pérdida de funcionalidades en el diario vivir. Y por lo mismo, suele ser tremendamente impopular. No es raro que cuando se implementan medidas de seguridad, aumenten las llamadas a soporte de los usuarios que se sienten frustrados por que aquel sitio que siempre visitaban ahora está "bloqueado por el administrador", o porque no pueden instalar la última versión de su aplicación favorita.

Es por esto mismo, que una de las claves más importantes en el éxito de la implementación de medidas de seguridad a nivel corporativo es el compromiso de la dirección de la organización. Y cuando se habla de compromiso, no se habla de que firmen a tiempo los tratados, sino de que la dirección entienda el significado de los cambios, las ventajas y las desventajas de los mismos, y que por sobretodo, entienda el valor real de la información como un activo cada vez más importante dentro de su negocio.

Cuando la alta dirección de la organización no valora la seguridad como debiera, ya sea porque no están al tanto de los crecientes riesgos a los cuales se somete la información, o porque derechamente prefieren sacrificar la seguridad en pos de la comodidad y funcionalidad de la organización, las medidas de seguridad está condenadas a transformarse en bonitas ideas que van a parar a un baúl sin fondo. Cuando esto pasa, la seguridad y la visión de negocio se transforman en enemigos a muerte, los cuales se ven el uno al otro como una amenaza latente. Y si la alta gerencia no se compromete con la seguridad, privilegiará siempre la funcionalidad. Así, deshabilitar los grabadores de CD - por dar un sencillo ejemplo - lo ven como un pecado que evitará que sus usuarios puedan usar sus equipos con normalidad, en vez de verlo como una excelente restricción que limita en gran medida las fugas de información en la organización. Y así, cada medida de seguridad la terminan viendo como una molestia, a tal punto que terminan desestimándola, flexibilizándola o - peor aún - haciéndola menos segura que lo que ya estaba en un comienzo.

El punto clave acá es: ¿Qué tan importante es la información para mi negocio? ¿Qué tanto estoy dispuesto a arriesgar o sacrificar en pos de la comodidad de mis usuarios? La comodidad de los mismos, ¿es incluso más importante que la información que manejo?, ¿La seguridad es un valor agregado a mi negocio? Si se responde que sí a más de una de estas preguntas, es clave ir más allá; capacitarse, aprender, y por sobre todo comprender la relevancia que puede llegar a tener el tener seguridad como una función del negocio. Y es aquí donde la difusión juega un papel clave.

Si la alta dirección o la gerencia organizacional tiene las cosas claras y un mensaje intransable en cuanto a la seguridad de su información, deberá jugar un rol activo en cada proyecto de seguridad existente. Y este rol activo se traduce en participar en el diseño de las soluciones, validando cada una de las propuestas de manera integral y realizar, en su debido momento, todas las observaciones que puedan traducirse en el perfeccionamiento de una solución. Si esto sucede, la aplicación de los proyectos de seguridad tiene una alta probabilidad de ser exitosa. Y esto se debe a que una gerencia comprometida con la seguridad entrega un mensaje claro a sus empleados, los cuales estarán plenamente concientes de que las restricciones que se aplican van en pos de un bien superior a su comodidad y confort.

Si esto no sucede, el fracaso es el destino irrefutable de este tipo de proyectos. Y al final, las soluciones quedan en sueños ideales, destruidos por la poca conciencia de los que están a cargo. Y los encargados de seguridad ven una vez más frustrados sus anhelos de una organización más segura.

Instalación de un Controlador de Dominio - Grupos predeterminados

Bueno, continuando con los links útiles - que no colocaba hace semanas, aquí hay un par de sitios de bastante utilidad para comprender los primeros fundamentos de Active Directory que estamos estudiando.

http://technet2.microsoft.com/windowsserver/en/library/6bdadfc1-4a8e-4b55-8844-7f784d7ff20b1033.mspx?mfr=true

Este link muestra el proceso de instalación y configuración inicial de un controlador de dominio.

http://technet2.microsoft.com/windowsserver/en/library/1631acad-ef34-4f77-9c2e-94a62f8846cf1033.mspx?mfr=true

Este es sobre los grupos predeterminados que existen en Windows 2003.

Más adelante, más links. Saludos desde Seattle, WA

Los dejo desde ya invitados al gran Lanzamiento de Microsoft este 2008!

ZaSaludos

Nuevos MVPs para Chile & MVP Summit

¿Quién lo diría? Hace semanas que no había posteado por acá y ha sido sencillamente por falta de tiempo. Y es que el nuevo trabajo en el cual me desempeño ha sido absorbente y motivante a un 100% (en otro post les cuento más). Y hoy, que tengo un ratito libre, no puedo dejar pasar la oportunidad para contarles algunas novedades a nivel de Chile que hemos tenido en el programa MVP.

Nuevos MVP Chilenos. Llegó Abril y novedades mil en el programa MVP para los Chilenos. Parece que renovar ya no será tan sencillo; debemos preocuparnos más de actualizar nuestros aportes y buscar vías alternativas para validar nuestro trabajo. Y así como tenemos menos charlas y eventos disponibles este año, tenemos que refugiarnos en nuestro blog, nuestros artículos y el aporte online que podamos hacer para renovar. El cuento es que llegó Abril y hemos perdido 2 MVP para ganar otros dos; en pocas palabras, ha habido un cambio en el equipo.

De los nuevos MVP, les puedo contar que tenemos a un desarrollador: Juan Pablo Schmiede (C#) y a Gonzalo Balladares (Exchange). Y como conozco "de potrillo" a Gonzalo no puedo hacer más que felicitarle públicamente. Muchas ganas, gran empuje, una disposición a toda prueba y un excelente nivel de conocimientos técnicos (destacando que es el primer chileno en sacar el MCTIP en Windows 2008). Su destacadísima participación en el Glue y el excelente ciclo de Charlas que organizó y coordinó lo hacen largamente merecedor del reconocimiento. ¡Felicitaciones, Gonzalo!

Con esto, la lista de MVP's Chilenos es la siguiente:

Claudio San Martín (XBOX, renueva en Octubre)

Oscar Soto (Active Directory Services, renueva en Octubre)

Emerson González (Forefront/ISA, renueva en Octubre)

Luis Montenegro (Security, renueva en Octubre)

Jorge Díaz (Exchange, renueva en Enero)

Gonzalo Balladares (Exchange, renueva en Abril)

Gonzalo Pérez (ASP.NET, renueva en Abril)

Juan Pablo García (Arquitectura de Sistemas, renueva en ?)

Luis Hereira (Arquitectura de Sistemas, renueva en Abril)

Luis Silva (VB, renueva en Abril)

Juan Pablo Schmiede (C#, renueva en Abril)

Leonardo Garcés (ASP.NET, renueva en Enero)

Se viene el MVP Summit. Y ya nos quedan 7 días para iniciar el gran viaje. El día 12 volamos a Seattle para participar entre el 14 y el 17 en el Summit MVP, una experiencia única y una gran oportunidad para compartir con los expertos en Microsoft y conocer colegas de todo el mundo. Hasta este momento, estamos viajando Oscar, Jorge, Juan Pablo G, Leo, Gonzalo B, y quien les habla. Dirige la delegación Christian Linacre. Luego del Summit, partimos con Jorge, Leo y JP a las Vegas. No es malo....

Saludos!

Aprender, explorar y comprender Windows Server gracias a Virtual Server 2005 R2 SP1 y VMRC Plus

Voy a aprovechar estos breves minutos antes de iniciar una nueva jornada laboral para contarles un poco sobre el concepto de virtualización y el uso de Virtual Server 2005 R2 con SP1.

Sin duda, la virtualización es un concepto en boga. Hoy en día, el transformar las máquinas físicas en máquinas virtuales, permitiendo tener varias dentro de un mismo servidor físico funcionando concurrentemente, es una opción cada vez más atractiva para las organizaciones; permite ahorrar costos de almacenamiento físico de las máquinas, mantenimiento, y por sobre todo, hardware. Además, con un servidor virtual crear máquinas virtuales es relativamente sencillo y duplicarlas, moverlas y restaurarlas en caso de problemas de seguridad es algo que tomará mucho menos tiempo que recuperar información desde un respaldo, lo cual mejora el uptime de las organizaciones.

Con Virtual Server 2005, se pueden crear todas las máquinas virtuales que queramos tener, en distintos sistemas operativos, tanto clientes como servidor. Podemos agregarle a nuestras máquinas la memoria, disco y tarjetas de red que encontremos necesarias, tomando siempre en cuenta que las limitantes son las mismas que la máquina host, es decir, la máquina donde se instala virtual server. En pocas palabras, si tenemos 2 GB de RAM en nuestro equipo "madre", difícilmente vamos a tener 10 máquinas virtuales con 1GB cada una funcionando .

La posibilidad de crear redes virtuales internas, o asociar las tarjetas de red a nuestras tarjetas de red físicas, de añadir discos duros cuando nos quedemos sin espacio "virtual" y muchas otras opciones hacen de Virtual Server 2005 una herramienta óptima para el proceso de aprendizaje, prueba y en muchos casos producción con Windows Server 2003/2008.

Durante este semestre, estaré dictando un curso de laboratorio de Sistemas Operativos, donde explicaré los conceptos básicos de administración de Windows Server y algo de Linux. Y para realizar todas las experiencias prácticas, trabajaremos con Virtual Server 2005 R2 y con VMRC (La virtual machine remote control) en su versión mejorada. En un próximo artículo desmenuzaré más sobre esta herramienta.

Más información pueden encontrar en:

http://www.microsoft.com/windowsserversystem/virtualserver/

http://download.microsoft.com/download/6/6/d/66d548a3-a02b-4f32-adb8-634a7ec7bbcc/MS_VS2005_BUILD_062007/index.html - Una excelente demo, en inglés con subtítulos, en Inglés... igual se hace más fácil de seguir.

http://technet.microsoft.com/es-cl/bb738033.aspx Descarga Microsoft Virtual Server 2005 R2 con SP1

http://www.microsoft.com/downloads/details.aspx?FamilyID=80ADC08C-BFC6-4C3A-B4F1-772F550AE791&displaylang=en Descarga de VMRC Plus

Es importante destacar que para instalar Virtual Server 2005 R2 SP1 es necesario instalar IIS (Ubicado dentro de Panel de Control, agregar o quitar programas, componentes de Windows, Servidor de Aplicaciones). Basta con una instalación mínima que incluya el servicio WWW para que funcione. Además, es importante destacar que Virtual Server funciona con privilegios administrativos, así que ojo con los usuarios de Windows Vista!

Hasta una próxima oportunidad.

Dentro de las nuevas herramientas que Microsoft ha desarrollado bajo su línea Solutions Accelerators existe una que es capaz de crear, en pocos pasos, una línea de seguridad base para toda la plataforma de servidores de Windows, y no solo eso; también lo puede hacer para equipos cliente.

GPOAccelerator es el nombre de esta herramienta, que basa su trabajo en el desarrollo de políticas de grupo basándose en el uso de las últimas guías de seguridad que Microsoft ha sacado para sus sistemas operativos Windows 2008, Windows 2003, Windows Vista y finalmente Windows XP. Gracias a esta nueva herramienta, un administrador de sistema puede simplificar el trabajo que anteriormente tenía que realizar con el uso de plantillas de seguridad y se puede ahorrar todo el procedimiento de importar las plantillas, crear las políticas y nombrarlas... para cada uno de los roles de un servidor.

Además, GPOAccelerator tiene la capacidad de generar sus baselines de seguridad en base a la infraestructura de la organización, el nivel de seguridad al que se quiere llegar y el entorno en el cual se está haciendo el deploy. En pocas palabras, esta herramienta crea políticas distintas si existe una infraestrucura de dominio, si se está trabajando en un laboratorio o si se implementarán las políticas de modo local.

GPOAccelerator establece dos niveles de seguridad estándar. El primero de ellos, llamado Enterprise Client Enviroment (EC) es un nivel de seguridad clásico para empresas que tienen plataformas de trabajo basadas en dominios, con Controladores de dominio Windows 2008 y Servidores miembro Windows 2008/2003 SP2, más equipos cliente Vista/XP. En este caso, se aplican medidas de seguridad adecuadas para organizaciones que quieren tener un nivel de seguridad óptimo en cuanto a la relación seguridad/funcionalidad. En pocas palabras, aplica la seguridad más alta que se puede llegar a obtener sin afectar la funcionalidad de los sistemas. Es necesario recordar bajo este punto que a un mismo costo, un aumento en los niveles de seguridad por lo general (por no decir siempre) afecta el grado de funcionalidad que se puede obtener de los sistemas. Este concepto está íntimamente relacionado con el concepto de superficie de ataque: mientras más funcionales, mayor suele ser la superficie de ataque, y por ende, menor la seguridad.

El segundo nivel de seguridad es conocido como Specialized Security: Limited Functionality (SSLF), el cual como su nombre lo dice, es un nivel de seguridad de altísimo nivel, pero que a su vez tiene funcionalidad limitada. Este nivel de seguridad debe ser aplicado en sistemas basados en Servidores Windows 2008 y clientes Windows Vista/XP, y debe ser utilizado sólo en aquellos casos en que la necesidad de altos niveles de seguridad sea lo suficientemente grande como para estar dispuestos a sacrificar la funcionalidad de los sistemas. Por ejemplo, un SSLF restringe el acceso a Terminal Server, lo que en ambientes organizacionales suele ser algo que afecta sensiblemente a sus usuarios.

¿Y como funciona? Para instalar GPOAccelerator es necesario descargarlo - lógico - desde el sitio Web que está especificado en la guía de seguridad de Windows 2008. Una vez descargado, para su funcionamiento necesita residir en alguno de los sistemas operativos indicados anteriormente, y además necesita la instalación previa de la consola de administración de políticas de grupo (GPMC, la cual se puede descargar acá).

Una vez instalado, al ejecutarse se inicia un asistente de configuración, similar al que se ve a continuación.

Luego de dar clic a siguiente, se debe seleccionar el entorno general de trabajo, vale decir, se debe especificar si se trabajará en un ambiente de dominio o si el deploy del baseline se realizará de forma local. Además, en este punto se da la opción de actualizar el editor de seguridad existente.

Para hacer este pequeño tutorial, se trabajó en Windows 2008, en una infraestructura de dominio. Por lo tanto, se selecciona Domain y se da clic a siguiente. A continuación, se debe especificar que guía de seguridad se ocupará para aplicar el baseline de seguridad.

Luego de seleccionar Windows 2008 y dar clic en siguiente, se debe escoger cual será el nivel de seguridad a aplicar en el proceso de deploy. Aquí es importante resaltar nuevamente la importancia de adecuar el nivel de seguridad a aplicar al objetivo de negocio dentro de la organización, al grado de exposición de los activos de seguridad y a la citricidad de la información para tomar la decisión correcta.

Luego de tomar la decisión adecuada y dar clic a siguiente, el asistente pide la última decisión por parte del usuario, y es decidir si la implementación del baseline de seguridad se está aplicando a un entorno de laboratorio o directamente en producción. Y aquí es importante recordar la importancia de la aplicación inicial de la solución en un entorno de laboratorio de forma inicial, antes de iniciar un proceso de implementación efectiva en producción.

Una vez que se da clic a siguiente, se procede a aplicar las configuraciones deseadas y a iniciar le proceso de creación de políticas. Esto puede tomar algunos minutos.

Una de las cosas importantes a tomar siempre en cuenta en la aplicación de herramientas de deploy de baseline - o anteriormente, en el uso de plantillas - es que siempre es recomendado revisar las plantillas antes de aplicarlas. Si el estudio general de la plantilla de seguridad trae como consecuencia un resultado nefasto o la pérdida de funcionalidades necesarias para la organización, es mejor abstenerse de su uso.

El proceso de creación de las políticas, en este ambiente de laboratorio, tomó aproximadamente 3 minutos.

Una vez terminado el proceso, el administrador puede abrir la consola de administración de políticas de grupo (GPMC) para vincular las políticas creadas por la herramienta.

Para utilizar de manera óptima GPOAccelerator, es importante tener una infraestructura de dominio óptima para su utilización. Se recomienda utilizar un baseline para los controladores de dominio, un baseline para los servidores miembros y baselines para las distintas funciones o roles del servidor.

Eso sería todo por ahora. Prontamente, les mostraré un overview técnico de Microsoft ForeFront.