Mes: abril 2007

1.-Introducción

En la actualidad, estamos sometidos a una “avalancha” de información (Búsqueda Fernando Alonso, ¡fijaos en el número de resultados!). Para encontrar, descartar, integrar o comprimir información útil, hace falta llevar a cabo una búsqueda lo más específica posible utilizando un motor, que nos permita encontrar lo que realmente nos interesa. Conozco a una persona que dice “información es dinero”. Yo creo que sobreinformación es pérdida de dinero (o de tiempo), pues nos vamos a tener que pasar horas y horas agrupando datos hasta encontrar algo productivo.

Lo mismo pasa en nuestro ordenador. La cantidad de archivos que manejamos es cada día más grande, hasta el punto de que no sabemos dónde pusimos las fotos de la comunión o dónde está el último disco de Camela.

Para facilitar la tarea de búsqueda, con Windows Vista “puedes encontrar fácilmente lo que necesitas, cuando lo necesites, gracias a la característica búsqueda instantánea”.

2.-Uso de búsquedas

A continuación nos centraremos en las distintas opciones de búsquedas, es decir, en cómo usar el buscador de Windows para encontrar todos, o casi todos, los archivos que necesitemos en un momento dado.

2.1.- Menú de inicio

   
En la imagen, podemos ver que las búsquedas están integradas en el menú de inicio, así como un ejemplo de las capacidades que se nos ofrecen. Si probamos a escribir algo, observaremos que busca al momento, desde los nombres de los archivos hasta el historial de Internet e incluso los programas del sistema. Una vez encontrados, muestra los resultados por categorías o grupos que tienen algo en común. Con esto podremos saber todas las referencias que aparecen en nuestro sistema o en la Red, de una palabra determinada y lo mejor de todo, es que podemos distinguir a que tipo de información pertenece (fotos, música, aplicaciones, Internet). Quizás es el punto más cómodo de búsqueda y el que más utilizan los usuarios.

2.2 Explorador de ficheros

Si usamos el explorador de Windows, apreciaremos que se integra el buscador en la esquina superior derecha. Funciona de igual manera  que la búsqueda instantánea desde el Menú de Inicio, basta con poner un término y el motor empieza a buscar. Es una “búsqueda rápida” de archivos.

Esta capacidad de Búsqueda Instantánea también aparece incluida en aplicativos como Internet Explorer 7 (IE7) o en el Reproductor de Windows Media; En todos los casos posee la misma funcionalidad y utilidad.

Una vez obtenidos los resultados, disponemos de la opción de ordenar el conjunto obtenido a nuestro gusto: nombre, fecha de modificación, tipo, carpeta, autores, etiquetas. Para ello solo tenemos que hacer clic en cualquier columna y obtendremos el mismo conjunto de resultados ordenado de forma ascendente o descendente. Dentro del mismo control donde se muestran los resultados tendremos la opción de crear filtros, por ejemplo para que nos muestre solo los archivos JPG.

Un filtro es una búsqueda dentro de los resultados de búsqueda que nos va a permitir afinar en sucesivas depuraciones hasta acotar los archivos tanto como desemos.

Si nos fijamos, cuando hacemos una búsqueda, en el menú superior, aparece una nueva barra de herramientas con opciones, permitiéndonos estas poder realizar acciones como guardar una búsqueda, para hacerla en otro momento con resultados actualizados, cambiar las vistas o acceder al Panel de Búsqueda. También se nos dan otras opciones que analizaremos más adelante.

2.3 Barra de Búsquedas

Si vamos a Inicio>Buscar, entraremos en el Panel de Búsquedas en el que podremos ajustar los resultados en función de parámetros afinados. En esta herramienta podremos buscar por tipo de archivo, ubicación, fecha de creación, etc… así, por ejemplo, si lo que deseamos encontrar es una imagen, basta con marcarlo y solo se nos mostraran tipo de archivos gráficos, sin que tengamos que enumerar la lista de tipos. Además, desde el Panel de Búsqueda podremos acceder a las opciones de búsqueda avanzada.
 

2.4 Opciones avanzadas de Búsqueda

Dentro de las opciones podremos seleccionar la unidad a buscar, la fecha de creación o modificación del archivo, el tamaño aproximado, nombre del archivo, etiquetas (que podemos añadir a cada documento) o autores.

Como se puede apreciar en estas opciones de búsqueda el sistema está integrado con la metainformación de los archivos. Esta metainformación podrá ser el conjunto de valores que se introducen en las propiedades de una documento Word, en la información EXIF de una fotografía o en las etiquetas que pongamos manualmente en un documento al entrar en sus propiedades. 

A la hora de buscar un documento puede suceder que no sepamos como se llama, cuando fue creado o donde puede estar, pero sin embargo sí sepamos que contenidos trata. Para esas situaciones el sistema realizará búsquedas dentro de los documentos para encontrar el/los términos requeridos dentro del texto.

Para poder optimizar el consumo de las búsquedas tenemos una serie de opciones a nivel de carpeta para gestionar como se deben realizar las búsquedas. Imaginemos que ponemos el término “sistema” como patrón de búsqueda.

Si el motor debe leerse todos los archivos buscando en cuales de ellos en el contenido del mismo pone sistema, estaríamos obligando al equipo a realizar un trabajo enorme. Para ello en las propiedades de las carpetas contamos con una serie de opciones de optimización en la pestaña de “Buscar”.

Se nos presenta así la opción de que, siempre que realicemos una búsqueda se haga en los nombres de los archivos y en el contenido, por ejemplo. Esta será la opción más costosa en recursos, pero podemos optimizarla eligiendo que sólo se busque dentro del documento si ya se ha indexado dicha carpeta. El sistema, mediante un proceso en segundo plano y de baja prioridad va realizando índices con el contenido de los documentos de una carpeta. La creación de estos índices se puede forzar manualmente seleccionando la carpeta. Cómo última opción podremos forzar una búsqueda sólo con los nombres de archivo y nunca con el contenido, con lo cual el coste de ejecución en tiempo y recursos será mucho menor.

Entre las opciones de búsqueda tenemos también la posibilidad de incluir/excluir los directorios del sistema, que generalmente tendrán pocos documentos que nos interesen en el uso cotidiano de trabajo con el equipo o los archivos comprimidos.

Hola a tod@s!

Vamos a terminar este pequeño repaso al firewall de Windows Vista repasando las opciones que nos quedaban por cubrir, las cuales son:

·         NAP (Network Access Protection)

·         Configuración básica

·         Creación y personalización de reglas

·         Administración a través de la Shell

·         Jugar un poco con él

Empezaremos hablando sobre Network Access Protection. NAP o protección de acceso a la red, no es más que una serie de políticas que nos van a ayudar a los administradores a garantizar que los equipos que se conecten a nuestra red, cumplen con una política de salud aceptable. Si para nosotros una buena política de salud es no tener un resfriado, hacer ejercicio de forma constante, etc.., para un equipo una buena política de salud sería tener el antivirus en pleno funcionamiento y con las firmas actualizadas, tener instaladas todas las actualizaciones de seguridad, etc.. Si nuestro equipo no cumpliese con la política de seguridad establecida por la empresa, podrían pasar dos cosas. La primera que no se pudiese conectar a nuestra red, y una segunda podría ser que sí nos pudiésemos conectar, pero en una red aislada de toda la corporación, con acceso sólo a algunos recursos, y a la espera de poder cumplir con los requisitos mínimos de salud.

Recordemos que esto es sólo una medida más de seguridad, al igual que los antivirus, las políticas, DEP, UAC, MIC, etc…

En el artículo anterior veíamos cómo estaba configurado el firewall por defecto, los diferentes perfiles a los que nos podemos enfrentar (dominio, público, privado) y el tipo de comportamiento que tendrá nuestro firewall cuando nos conectemos con un determinado perfil. Por defecto están los 3 configurados iguales:

·         Estado del Firewall : Habilitado

·         Conexiones entrantes: Bloquear

·         Conexiones salientes: Permitir

Por defecto el firewall está habilitado para todos los perfiles, las conexiones entrantes se bloquean si no cumplen con una determinada regla, pero las conexiones salientes no. Yo particularmente recomiendo que se habilite esta regla (Conexiones salientes: Bloquear), y así cubrimos dos campos, los cuales son  las conexiones entrantes, y las salientes. Si activamos esta opción, toda acción de salida que no cumpla con una determinada regla será bloqueada. Cualquier aplicación que necesite salir al exterior, tiene que tener una regla para salir, si no la tiene, no sale. Cabe decir que si aplicamos esta opción, tendremos que configurar a mano las aplicaciones que necesiten salir a Internet, como por ejemplo nuestro navegador.

 Esto lo vamos a ver muy bien con dos ejemplos de aplicaciones que necesiten salir al exterior.

Una vez que hayamos aplicado esta opción, nuestro PC estará automáticamente aislado de toda comunicación desde el interior al exterior, y desde el exterior al interior. Esto quiere decir que si iniciamos nuestro navegador para navegar por Internet, éste no podrá salir, al no tener una regla de salida asignada. Tampoco podremos hacer comprobaciones de conectividad, como por ejemplo ping, etc.… Así que vamos a crear una regla de salida, como por ejemplo nuestro navegador.

Crear una regla de salida en el Firewall es tan sencillo como picar en la opción Nueva regla, la cual la podemos encontrar en dos puntos de nuestra consola. En la parte superior derecha o pulsando con el botón derecho del ratón en las pestañas Reglas de entrada y Reglas de salida.

Al pulsar en Nueva Regla nos saldrá un asistente que nos guiará en todo momento a crear una nueva regla.

Como podréis observar, la regla no solo se limita al ámbito de una aplicación, sino que podremos crear reglas por número de puerto, servicios, reglas predefinidas, etc… Podremos personalizar las reglas a nuestro gusto.

Como en nuestro caso vamos a darle salida a nuestro navegador, elegiremos la opción Programa y pulsaremos Siguiente.

Aquí nos está pidiendo el asistente que le indiquemos la aplicación que va a coincidir con la regla de salida. Marcaremos la ruta de nuestro navegador y pulsaremos Siguiente.

Aquí nos pregunta por el tipo de conexión que vamos a permitir o denegar. Si os fijáis, el firewall, al estar integrado con IPSEC, nos da la opción de permitir sólo las conexiones seguras y autenticadas, en el caso de que nuestra red estuviese configurada con IPSEC. Marcamos Siguiente.

En esta parte de la regla, nos preguntará en qué ámbito se aplicará esta regla. Como mi PC sólo va a estar en casa, marcaré la opción Privado. Si fuésemos un administrador de sistemas y tuviésemos que configurar el Firewall para el portátil de un directivo podríamos marcar los 3 ámbitos, así nuestro directivo tendría conectividad tanto en el trabajo, como en su casa, pasando por una red pública, como podría ser un aeropuerto, etc…

La última regla es solo para poner un nombre y una descripción. Tendremos que ser consecuentes con el nombre que pongamos si queremos  llevar una monitorización óptima. Pulsamos Finalizar y listo! Tenemos nuestra primera regla de salida!

Un problema menos, podemos navegar por la Red. Pero al cabo de un rato me veo en la necesidad de hacer una prueba de conectividad entre varios equipos, y al intentar una prueba con el comando ping, veo que el Firewall me está denegando la salida.

Para cerciorarnos de que no es un error de conexión, podemos mirar el log de nuestro Firewall para ver qué registra, y esto es lo que nos encontraremos:

Como podéis comprobar, me está denegando toda salida ICMP. Lo único que nos queda por hacer es crearnos una nueva regla de salida, pero esta vez personalizada, que se aplique a todos los programas. Lo único que tenemos que cambiar es la configuración del protocolo. La regla sólo se aplicará al protocolo ICMP, tal y como aparece en la imagen:

Si os fijáis, el firewall de Windows también nos permite configurar el protocolo ICMP, lo cual nos viene de perlas, porque yo sólo quiero peticiones de eco para poder hacer pings, lo que nos quedaría:

Una vez configurada nuestra regla y habilitada, podremos comprobar que ya tenemos conectividad ping.

Y la administración bajo línea de comandos? Es posible? Claro que sí!

Muchos administradores se quejaban de que Windows era una gran plataforma en entorno gráfico, pero que la línea de comandos estaba bastante descuidada. Esto es y no es cierto. Me explico. Desde Windows 2000/XP ya se podía administrar en un 100% un equipo bajo línea de comandos, lo que no había en Internet eran manuales al respecto. Ahora con la nueva PowerShell de Windows la experiencia se multiplica de forma exponencial. Veamos cómo podemos administrar nuestro Firewall a través de la Shell.

Vamos a utilizar la herramienta nativa de Windows netsh. Netsh es una aplicación bajo línea de comandos que nos permite la administración de la configuración de red de un equipo. Este tipo de administración lo podemos hacer tanto de forma local como remota.

Este comando no sólo sirve para administrar el Firewall de Windows, sino que podremos administrar un 100% de nuestra configuración. Podremos administrar NAP, HTTP, RPC, configuraciones IP, etc…

El comando en cuestión es el siguiente:

Netsh advfirewall firewall

Imaginemos que tenemos una aplicación que se llama juanito.exe que necesita salir al exterior. Necesitamos crearle una regla de salida sólo para el perfil privado. Lo que nos deja el comando siguiente:

Netsh advfirewall firewall add rule name=” Permitir aplicación Juanito.exe” dir=out program=”C:Archivos de programaAplicación de Juanitojuanito.exe” profile=private action=allow

En donde el apartado dir refleja la naturaleza de la regla (si es de salida o de entrada), el apartado profile refleja el ámbito de la regla (perfil público, privado o dominio) y la acción que va a tomar esa regla (permitir o denegar).

Con la aplicación netsh podremos crear, eliminar, crear backups de las reglas, etc… Recomiendo echarle un vistazo, ya que es una herramienta muy potente que puede ayudar a muchos administradores.

Y para jugar un poco con él, vamos a intentar poner una Shell a la escucha con la aplicación netcat.

El comando que vamos a utilizar es el siguiente:

nc.exe –l –e “cmd.exe” –p 1234

Al pulsar Enter podremos ver como nuestro firewall se cosca de que hay una aplicación que quiere salir a escuchar, y que incluso si desbloqueamos esa aplicación, el control de cuentas de usuario nos pide aprobación para iniciar la consola de nuestro Firewall.

Finalmente llegamos a la última entrega de esta serie. Antes de nada aquí tenéis todas las entregas anteriores:

·         “Despliegue masivo de Windows Vista con BDD 2007 (I de V)”

·          “Despliegue masivo de Windows Vista con BDD 2007 (II de V)”

·         “Despliegue masivo de Windows Vista con BDD 2007 (III de V)”

·         “Despliegue masivo de Windows Vista con BDD 2007 (IV de V)”

Recordemos que ya tenemos tanto el “build”, es decir la imagen de despliegue como el Deployment Point o punto de implantación desde donde se transferirán las imágenes de vista que estuvieran disponibles.

El último paso que realizamos en el artículo anterior fue la actualización del punto de implantación. Con esto creamos la estructura de carpetas y copiamos las imágenes .wim que previamente ya habíamos creado en el “build”.

Sin embargo aun quedan algunos pasos por realizar ya que en nuestro escenario, el despliegue lo estamos realizando en modo LTI, es decir sin SMS 2003 OSD. Por lo tanto debemos apoyarnos en un último servicio que también incorpora Windows AIK. Me refiero a Windows Deployment Services o WDS.

Ya comente en su momento qué es WDS, recordad que lo podéis encontrar en la carpeta WDS del paquete de instalación de WAIK. WDS nos va a permitir iniciar los equipos utilizando PXE y ejecutar el script de arranque del proceso de instalación (litetouch.vbs) para que se descargue WindowsPE y según la configuración que hayamos realizado, continúe el proceso en modo desatendido o solicitando la intervención del usuario.

La ejecución de los asistentes de WindowsPE en modo desatendido se logra con los parámetros y propiedades que configuramos en los archivos bootstrap.ini y customsettings.ini. Ambos los podemos editar desde las propiedades de la imagen del punto de implantación. Algunas propiedades importantes como DeployRoot, UserDomain, UserID, UserPassword o KeboardLocale evitan que se presenten en pantalla los asistentes mientras se realiza el proceso de instalación y configuración de WindowsPE. Más adelante entrará en acción unattend.xml durante las fases de instalación de la imagen de Windows Vista y su personalización.

Por ejemplo, para realizar un despliegue totalmente desatendido, deberemos editar el archivo customsettings.ini de forma similar a lo siguiente:

Es importante conocer cada una de las propiedades, ya que de esta configuración depende que la instalación del sistema operativo sea totalmente automática sin intervención del usuario. Para ello, existe una extensa referencia de cada una de las propiedades en la documentación de BDD 2007 llamada Configuration Reference. Aquí podéis profundizar más acerca de cada uno de los valores configurables y el efecto que produce en el proceso de instalación. Algunos de estos valores se insertan en unattend.xml si estamos desplegando Windows Vista y unattend.txt o sysprep.inf para Windows XP

Cuando editamos bootstrap.ini en las propiedades del punto de implantación, en realidad estamos editando la copia que tiene el recurso compartido de implantación o Deployment Share. Por ello debemos actualizar los archivos que hayamos cambiado en el Deployment Point y sobre todo asegurarnos que la imagen de WindowsPE que utilizaremos para el arranque tenga la última versión que hemos creado de boostrap.ini.

Una forma sencilla de realizar esta comprobación es montando la imagen LiteTouchPE_x86.wim que tiene el punto de implantación utilizando la herramienta  imageX.

Bootstrap.ini debe contener al menos la información necesaria para conectarse al punto de implantación y las credenciales que se utilizarán. Este archivo forma parte de la imagen WindowsPE que se debe generar o actualizar en el punto de implantación, por ejemplo:

No olvidemos otorgar a la cuenta seleccionada, permisos de lectura al recurso del punto de implantación que en nuestro ejemplo es  Deploy$. Además debemos asegurarnos que usuarios no autorizados no puedan tener acceso a esto u otros puntos de información y despliegue como pueden ser USMT o Logs. En general debemos establecer los permisos adecuados para este recurso y todos aquellos recursos que se vayan a utilizar en el script ZTIConnect.wsf

Una vez hechos todos los cambios oportunos, llega la hora de importar la imagen de inicio del sistema a Windows Deployment Services. Aquellos equipos que no tengan instalado un cliente SMS 2003, es decir, escenarios de nuevos equipos o migraciones de hardware, iniciarán el proceso de despliegue utilizando WDS.

En realidad existen alternativas a WDS, por ejemplo la ejecución manual del script litetouch.vbs desde el propio cliente, sin embargo esto solo es posible si ya existe un sistema operativo instalado en el equipo de destino.

Para importar las imágenes hacemos clic con el botón derecho en el nodo Boot Images  y completamos el asistente.

Windows Deployment Services puede responder a las solicitudes de inicio de los equipos que soportan PXE, sin embargo, es probable que queramos especificar que el servidor solo responda si los equipos están identificados ( pre-staged). Esto significa que aunque iniciemos un equipo en modo PXE, no se ejecutará el proceso de instalación de Windows Vista si no se ha identificado el equipo previamente en el Directorio Activo.

Para configurar esta opción, debemos ver las propiedades del servidor WDS. En la etiqueta PXE Response settings seleccionamos Respond only to known client computer. Todos aquellos equipos que no estén ya dados de alta en el Directorio Activo, deberán crearse manualmente para que el servidor PXE responda adecuadamente.

Para realizar este procedimiento debemos crear una nueva cuenta de equipo en el Directorio Activo con la opción de equipo administrado habilitada y el GUID / UUID identificado. Este valor GUID / UUID se puede localizar cuando el equipo inicia en modo PXE.

Como es lógico, si vamos a realizar una implantación de Windows Vista en decenas o cientos de equipos que no forman parte del dominio o que ni siquiera tienen un sistema operativo instalado, es preferible habilitar WDS para que responda a cualquier solicitud y evitamos el tener que identificad uno a uno cada equipo.

Llegados a este punto, solo nos queda iniciar el o los equipos de destino de nuestra implantación de Windows Vista. Cada escenario de despliegue utiliza un método diferente (Punto de implantación, discos locales, DVD). Los asistentes de Windows Deployment solicitarán cualquier configuración que no se haya configurado explícitamente, ya sea en bootstrap.ini, customsettings.ini o unattend.xml.

Cuando iniciamos el equipo con PXE, WDS se encarga de ejecutar cscript litetouch.vbs e implantar WindowsPE como primer paso de despliegue.

A partir de aquí, solo queda observar el proceso y comprobar que al finalizar obtenemos la imagen instalada según la hemos preparado. Si alguno de los asistentes de Windows Deployment solicita información al usuario, significa que ese valor no lo hemos configurado, por lo tanto deberemos revisar los pasos de edición de los archivos de instalación desatendida e incluir la propiedad solicitada.

Cuando iniciéis el equipo de destino vais a obtener algo similar a esto:

Con esto finalizamos aquí esta serie dedicada a la implantación de Windows Vista utilizando las nuevas herramientas y formatos de imagen que nos proporciona Microsoft para entornos de empresas y organizaciones que busquen automatizar estos procesos.

El poder automatizar todas estas tareas de forma relativamente sencilla y desplegar imágenes desde un punto administrado de forma centralizada a múltiples equipos, permite reducir significativamente los costes de actualización y mantenimiento en la mediana y gran empresa.

Business Desktop Deployment 2007 tiene muchas más características que se pueden explotar y que permiten una flexibilidad total para cualquier organización. Opciones que incluyen la configuración de diferentes tipos de implantación según el sitio físico en donde esté ubicado el equipo cliente o tipo de hardware consultando a la instrumentación del sistema (WMI).

Otro aspecto importante a destacar es que BDD 2007 no solo nos va a servir para el despliegue de Windows Vista, sino también para Windows XP y Office 2007.

En definitiva, para todos aquellos administradores y responsables de tecnología a los que se les exige mantener, implementar y  actualizar los sistemas operativos, el conjunto de herramientas incorporadas en BDD 2007 facilita el cumplimiento de los retos y objetivos siempre presentes en cualquier proyecto de tecnología: hacerlo en el menor tiempo posible y manteniendo los costes controlados en todo momento.  Con BDD 2007 seremos capaces de desplegar un Sistema Operativo en cientos de clientes en cuestión de unas pocas horas.

Seguimos nuestro ciclo de versiones de Windows Vista, con la orientación doméstica del producto: versiones Home. Para esta circunstancia, Microsoft nos provee de dos versiones que evolucionan de versiones que ya podíamos encontrar en las versiones equivalentes de Windows XP. La versión Home Basic actualiza la versión Windows XP Home y la versión Home Premium actualiza la edición Windows XP Media Center. En el caso del mercado europeo además tenemos la versión Windows Home Basic N que será una versión que no incorpora las funciones de Media Player, ni ninguna otra funcionalidad relativa a medios.

Referencias Externas

 —————————————————————-

Versión Windows Vista Home Basic

Versión Windows Vista Home Premium

Contrato Licencia Windows Vista Home y Ultimate

Hola,

Aprovechando que hoy es domingo, voy a dejar publicado el resumen de los artículos que se han ido publicando en el blog de Vista-Técnica. Así es más fácil seguir su lectura.

¡Saludos!

User Account Control (UAC)
Artículo en 6 partes escrito por Julián Blázquez

– User Account Control: Parte I de VI
– User Account Control: Parte II de VI
– User Account Control: Parte III de VI
– User Account Control: Parte IV de VI
– User Account Control: Parte V de VI
– User Account Control: Parte VI de VI

Bitlocker
Artículo en seis partes escrito por Juan Luís G. Rambla

– Bitlocker: Parte I de VI
– Bitlocker: Parte II de VI
– Bitlocker: Parte III de VI
– Bitlocker: Parte IV de VI
– Bitlocker: Parte V de VI
– Bitlocker: Parte VI de VI

Superfetch, ReadyBoost y ReadyDrive
Artículo en 4 partes escrito por Juan Francisco Arrabe

– SuperFetch: Parte I de IV
– SuperFetch: Parte II de IV
– SuperFetch: Parte III de IV
– SuperFetch: Parte IV de IV

Protección contra Buffer Overflow (DEP & ASLR)
Artículo en 4 partes escrito por Chema Alonso

– Protección Buffer Overflow: Parte I de IV
– Protección Buffer Overflow: Parte II de IV
– Protección Buffer Overflow: Parte III de IV
– Protección Buffer Overflow: Parte IV de IV

Business Desktop Deployment (BDD)
Despliegue masivo con Windows Vista. Artículo en 5 partes escrito por Joshua Saenz

– Business Desktop Deployment: Parte I de VI
– Business Desktop Deployment: Parte II de VI
– Business Desktop Deployment: Parte III de VI
– Business Desktop Deployment: Parte IV de VI
– Business Desktop Deployment: Parte V de VI

Firewall de Windows Vista
Artículo en 2 partes escrito por Juan Garrido

– Firewall de Windows Vista: Parte I de II
– Firewall de Windows Vista: Parte II de II

Versiones de Windows Vista
Artículo en seis partes escrito por Juan Luís G. Rambla

– Versiones de Windows Vista: Parte I de VI
– Versiones de Windows Vista: Parte II de VI
– Versiones de Windows Vista: Parte III de VI
– Versiones de Windows Vista: Parte IV de VI

GPOs en Windows Vista
Artículo en 4 partes escrito por Juan Francisco Arrabe

– GPOs en Windows Vista: Parte I de IV
– GPOs en Windows Vista: Parte II de IV
– GPOs en Windows Vista: Parte III de IV
– GPOs en Windows Vista: Parte IV de IV

Hola a tod@s! 

Me llamo Juan Garrido, en la community me conocen por Juanillo y me pasaré de vez en cuando por este blog para dejar algún que otro articulillo. Hoy os vamos a hablar del nuevo Firewall de Windows Vista. 

El tiempo parece que avanza cada día más rápido, y junto a él, estamos nosotros. Nunca antes el mundo había sido tan pequeño. Y esto se lo debemos en gran parte a las comunicaciones. Mensajería corporativa, correo interno, streaming para reuniones que antes serían imposibles, VOIP, gente que viene de otras empresas, ejecutivos con sus portátiles que van de una oficina a otra, etc…

Todo esto sería maravilloso si pasase exactamente así. Pero la realidad no es siempre de color de rosas y una red, por pequeña que sea, se puede convertir en un campo de batalla, si no tomamos las debidas precauciones.

Vivimos en un tiempo en el que las redes corporativas y las no corporativas son cada día más complicadas de administrar. Comerciales que conectan sus PDA a los portátiles o equipos de sobremesa, conexión de dispositivos de almacenamiento externo, tener que realizar operaciones en distintas redes, como por ejemplo, aeropuertos, ejecutivos que van de oficina en oficina y necesitan conectarse a la Red, etc..

Desgraciadamente, junto a este tipo de comportamiento, pueden venir a veces acompañados de la mano ciertas amenazas de seguridad como pueden ser Malware, Exploits, Spyware, DOS, Script-Kiddies, etc..

Y aquí es donde entra en acción un Firewall. Algo que ayude a minimizar los riesgos, sin perder un ápice de experiencia.

Antiguamente (y no hablo de mucho tiempo atrás) poniendo firewalls en el perímetro, podíamos permitirnos el lujo de tener a nuestros clientes sin firewall, pero hoy en día, con las nuevas técnicas de ataque, es casi de obligado cumplimiento defender en profundidad tanto a nuestros servidores como a nuestros clientes. Al fin y al cabo ellos serán los que utilicen la tecnología que les podamos proporcionar. Y por qué no aportarles tecnología y seguridad?

Dicho esto, en esta ocasión vamos a hablaros del nuevo Firewall de Windows Vista.

El Firewall de Windows Vista ayudará a mitigar estos desafíos que hemos comentado en líneas anteriores. Y por qué decimos mitigar? Pues porque un Firewall no es una panacea. La seguridad al 100% nunca está, ni estará garantizada. Un Firewall podrá reducir la superficie de ataque a una computadora, pero nunca asegurarla al 100%.

Dicho esto y sin haberme cogido los dedos  J, vamos a ver las nuevas características o features del nuevo Firewall de Vista.

Por caminos que no quede…[;)]

Este es el nuevo aspecto de las consolas MMC 3.0. A los administradores les resultará más fácil adaptarse a este tipo de consolas, ya que por defecto se mantendrá el mismo diseño en otras aplicaciones, como las nuevas versiones de ISA Server y los nuevos productos de la familia Forefront por ejemplo, que traerán un aspecto parecido.

Por un lado vemos la parte derecha, que nos presenta varias opciones. Desde exportar/importar directivas, hasta establecer filtros en base al perfil, estado de conexión o por grupos.

En la parte izquierda tenemos las opciones de configuración y monitorización de reglas. Podremos configurar tanto las reglas de entrada como las de salida, y monitorizar el estado de conexiones y actividad del Firewall.

En la parte central podremos ver el estado en que se encuentra nuestro Firewall. Podremos ver los perfiles de conexión que trae por defecto Windows. Perfil de dominio, perfil privado y perfil público, accesos para crear reglas de entrada o salida y un apartado de recursos y documentación.

Para acceder a las propiedades del Firewall de Windows con seguridad avanzada, podremos hacerlo de dos formas.

Pinchar con el botón derecho del ratón en Firewall de Windows con seguridad avanzada, tal y como se muestra en la imagen:

En este último post sobre el Control de cuentas de usuarios de Windows Vista trataremos las posibles configuraciones que podremos realizar sobre el tratamiento que pueden sufrir las aplicaciones.

Una de las principales configuraciones que realiza UAC (por defecto) para el tratamiento de las aplicaciones es la virtualización del registro y archivos del sistema. Dicha configuración permite que las aplicaciones heredadas que no se podían ejecutar con privilegios de usuario estándar, ahora tengan total funcionalidad sin suponer un riesgo para el sistema. ¡Nunca jamás un usuario necesitará privilegios administrativos por culpa de una aplicación!

El funcionamiento de estas aplicaciones es totalmente correcto, debido a que cuando acceden al registro o archivos del sistema (a los que no tiene permiso) lo hacen sobre un registro o archivo virtual. Permitiendo acceder a la información correcta, pero evitando así modificaciones peligrosas o errores que puedan surgir por falta de privilegios para las tareas que la aplicación realiza.

Esta configuración viene definida por la directiva virtualizar los errores de archivo y escritura de Registro por ubicaciones de usuario que por defecto viene habilitada.

¿Qué ocurrirá cuando se necesite instalar aplicaciones de forma remota?

Uno de los problemas que a priori nos podemos encontrar en un entorno empresarial, con el control de cuentas de usuario, es la instalación de aplicaciones mediante GPOs o SMS. Pues bien, no existe tal problema.

Tenemos la posibilidad de convivir con el nivel de seguridad del UAC y permitir administrar los equipos clientes, mediante instalación de aplicaciones remotamente, sin tener que aceptar la elevación de privilegios por parte del usuario.

Para realizar esta configuración contamos con una directiva, detectar instalaciones de aplicaciones y pedir confirmación de elevación, que indica dicho comportamiento. La directiva por defecto está habilitada, obligando a aceptar la elevación de privilegios. Pero si la desactivamos, únicamente permitimos la elevación automática de privilegios para aquellas instalaciones que se produzcan a través de GPOs o SMS.

Por lo tanto el control de cuentas de usuario se adapta a las necesidades que pudieran surgir en la administración de los equipos clientes por parte de los administradores.

¡Recordad! El control de cuentas de usuario es uno de los máximos responsables de la seguridad tan elevada con la que cuenta el nuevo sistema operativo de Microsoft. Configurémoslo y asumamos los riegos que corremos con cada una de las configuraciones.

Disfrutad del UAC.

Referencias

• Control de Cuentas de Usuarios (0): ¿Sistemas Seguros?


• Control de Cuentas de Usuarios (I)


• Control de Cuentas de Usuarios (II)


• Control de Cuentas de Usuarios (III)


• Control de Cuentas de Usuarios (IV)

Llega la hora de preparar en despliegue de la imagen que hemos estado preparando durante las últimas entregas de esta serie de artículos.

Pero, antes de iniciar las tareas de preparación, me gustaría explicar algunos conceptos y opciones de despliegue que BDD 2007 soporta.

Con BDD 2007 podemos realizar básicamente dos tipos de despliegue de sistema operativo: Light Touch (LTI) y Zero Touch (ZTI). Ambos tipos comparten un conjunto de scripts y archivos de configuración comunes.

·         Scripts

·         Archivos de configuración

·         Base de datos de Configuración

·         Variables de entorno

·         Archivos Log

Los scripts proporcionan un modo de automatizar el proceso de implantación y generan archivos log del proceso que han ejecutado para poder realizar un seguimiento o identificación de problemas durante alguna fase del proceso. Para que los scripts se ejecuten correctamente, éstos interpretan los archivos de configuración, los cuales están localizados en la carpeta Control del punto de implantación (Deployment Point) y se crean con los asistentes del Deployment Workbench.

La base de datos de configuración es una extensión lógica de los archivos de configuración. Permite centralizar y almacenar la configuración en una base de datos SQL Server. Durante el proceso de implantación, los scripts consultarán la base de datos según se necesite. Sólo se recomienda esta opción si podemos garantizar que los equipos cliente disponen de una conexión permanente y de alta velocidad al servidor SQL, si no es así, deberemos utilizar los archivos de configuración almacenados localmente en el equipo de despliegue.

La diferencia entre Light Touch (LTI) y Zero Touch (ZTI) consiste más bien en la infraestructura que hay detrás y en la cual nos basamos para realizar el despliegue. Mientras que LTI se realiza con herramientas gratuitas como son BDD 2007, WAIK y WDS, Zero Touch requiere, además de estas herramientas, SMS 2003 SP2 con OSD Feature Pack. La incorporación de SMS en el proceso de preparación y despliegue de sistemas operativos aporta un mayor grado de automatización, sobre todo cuando queremos incluir paquetes de software de terceros junto con una implantación muy personalizada.

En nuestro laboratorio seguiremos los procedimientos de Light Touch, que a pesar del nombre, también se pueden automatizar muchas de las fases y tareas de implantación para que sea un proceso completamente desatendido.

Tanto ZTI como LTI utilizan un archivo denominado bootstrap.ini para especificar propiedades que posteriormente se utilizarán en otro archivo de personalización llamado CustomSettings.ini. Bootstrap.ini  proporciona la información necesaria del punto de distribución, SMS OSD Feature Pack, Windows PE y opciones locales de teclado. En la siguiente tabla vemos algunas de las propiedades que se pueden utilizar en LTI y ZTI:

Estos archivos se crean desde el Deployment Workbench cuando se crea el punto de implementación (Deployment Point). Después de que estén creados podemos hacer cualquier cambio manualmente en los archivos.

Pero esto no termina aquí. Todas las tareas de implantación se ejecutan siguiendo un guión que también podemos personalizar. A esto le llamamos el secuenciador de tareas. Las fases o tareas se definen en un archivo llamado TS.xml, en el cual se identifica la secuencia correcta de ejecución de todo el proceso de implantación.

Las fases incluidas en TS.xml son:

·         Fase de validación: realiza las verificaciones necesarias para garantizar que la instalación del sistema operativo puede proseguir.

·         Fase de captura de estado de usuario: lee la información de los archivos de configuración, bases de datos y equipo local para determinar cómo se debe ejecutar el proceso de instalación y a captura del perfil de usuario. También identifica el espacio necesario para guardar el perfil completo utilizando USMT, invocando a ScanState.exe.

·         Fase de preinstalación: En esta fase se confirma que toda la información necesaria se ha recogido en los escenarios de actualización y reinstalación de equipos. En los escenarios de nueva instalación y remplazo de equipos, es en esta fase donde se recoge toda la información necesaria para la instalación ya que la captura de estado no se ejecuta.

·         Fase de instalación: En esta fase se instala el sistema operativo en el equipo de destino

·         Fase de post instalación: Se actualiza sysprep.inf, sysprep.xml o unattend.txt con la información recogida en las fases anteriores.

·         Fase de restauración de estado de usuario: En esta fase de hace una llamada a LoadState.exe para restaurar el perfil de usuario que previamente se ha capturado.

Pues bien, en TS.xml se identifican todas estas fases, junto con los pasos necesarios en cada una de ellas y según el escenario de implantación. Además se identifican las tareas necesarias para despliegues con SMS OSD Feature Pack.

Si volvemos a nuestro laboratorio, podemos encontrar el secuenciador de tareas en las propiedades del “Build” o paquete de despliegue que tenemos ya creado. Si seleccionamos la etiqueta Task Sequence observaremos cada una de las fases que hemos comentado.

Lo realmente interesante de todo esto es el grado de personalización que BDD 2007 ofrece, ya que, además de las tareas ya creadas, podemos insertar en cualquiera de las fases, nuestros propios scripts y pasos que sean necesarios para hacer que el sistema operativo final esté  totalmente adaptado y personalizado para nuestra organización.

Por ejemplo, supongamos que queremos incluir una tarea que copie los archivos de instalación de una aplicación de línea de negocio al disco local y que además inicie el proceso de instalación. Supongamos además que todo esto ya lo tenemos creado en un par de archivos llamados copiaLOB.bat e InicarSetup.bat.

Lo único que tendríamos que hacer es determinar el punto de inserción de la nueva tarea, e invocar los archivos .bat en el orden adecuado. Un punto de inserción lógico para este ejemplo sería dentro de la fase de post instalación y probablemente justo antes del reinicio del equipo. Nos situamos en la tarea inmediatamente superior y seleccionamos en el secuenciador de tareas Add > Group. Posteriormente vamos a agregar dos tareas, por lo tanto Add > Task dos veces. Ahora solo completamos los datos necesarios de las tareas y el grupo:

·         Nombre del Grupo: Copia e instalación de LOB

·         Nombre de tarea 1: Copia de archivos, Command Line: C:copiaLOB.bat

·         Nombre de tarea 2: Inicio de instalación, Command Line: C:InicarSetup.bat

Fijaros que debemos hacer referencia a la ubicación de los archivos .bat, los cuales deben estar previamente copiados y disponibles en la imagen .wim que acabamos de instalar. Para ello nada mejor que utilizar imageX para abrir, montar y copiar los .bat necesarios para esta tarea.

Todos los cambios se ven reflejados en el archivo TS.xml del build que estemos modificando, en nuestro caso VIS01, localizado en “C:DistributionControlVIS01TS.xml”.

Una alternativa a los .bat es utilizar scripts en formato .wsf, tal y como los utiliza BDD 2007 para secuenciar sus tareas. Para ello haremos una llamada a “cscript.exe %SCRIPTROOT%NombreDeScript.wsf”.

Una vez que hemos hecho todos los cambios necesarios, personalización de fases y tareas, copia de archivos en la imagen .wim y hemos verificado que el paquete de despliegue está correctamente creado, llega el momento de crear el punto de implantación o Deployment Point.

Para ello nos situamos en el nodo que lleva este nombre y con el botón derecho hacemos clic en New. Veremos el asistente de creación de punto de implantación, y observaremos cuatro opciones disponibles que os comento a continuación:

·         Lab or single-server deployment (LAB). Opción predeterminada que crea un punto de distribución (recurso compartido como distribution$). Con esta opción utilizamos el punto de distribución local como punto de implantación (Deployment Point).

·         Separate deployment share (Network). Esta opción crea un Nuevo punto de implantación (Deployment Point) como nuevo recurso compartido de red. Recomendado en escenarios en donde se utilizarán servidores de archivos en red desde los cuales se centralizará la implantación

·         Removable media (Media). Esta opción crea un recurso compartido en donde se crearán imágenes para realizar una implantación basada en CD, DVD, Discos Duros externos o dispositivos  USB. Ideal para escenarios en donde haya equipos desconectados o con limitaciones en la conexión que puedan afectar el proceso de instalación remota.

·         SMS 2003 Operating System Deployment (OSD) Feature Pack (OSD). Si seleccionamos esta opción crearemos un recurso compartido que posteriormente se utilizará en la creación de imágenes para SMS 2003 OSD Feature Pack. Específico para escenarios de implantación ZTI.

Según la opción que hayamos seleccionado, tendremos que dar respuesta a algunas preguntas que nos hará el asistente. Estas preguntas determinan el comportamiento inicial del proceso de instalación del Sistema Operativo y modifican el archivo CustomSettings.ini y Bootstrap.ini

En nuestro escenario, utilizaremos la segunda opción, es decir, Separate Deployment Share para que así podamos observar el recurso compartido que se crea y los archivos de configuración que hemos comentado anteriormente. Por lo tanto ejecutamos el asistente y vamos contestando cada una de las preguntas, con los siguientes valores:

·         Deployment Point name: NETWORK

·         Allow users to select additional applications on Upgrade: NO

·         Ask user to set the local Administrator Password: NO

·         Ask user for a product key: NO

·         Server name, Share Name, Path for share: dejamos los valores por defecto

·         Specify user data defaults: Do not save data and settings

Una vez que hemos creado el Deployment Point podemos acceder a sus propiedades haciendo doble clic en el contenedor correspondiente. Desde aquí podemos editar y configurar con un mayor nivel de detalle todas las opciones del punto de implantación.

Otro aspecto a tener en cuenta es que el recurso compartido no se crea realmente hasta que no llevamos a cabo una actualización de archivos, es decir, el punto de implantación no es funcional hasta que todos los archivos necesarios no se hayan copiado al recurso compartido. Para ejecutar esta tarea le haremos clic con el botón derecho al contenedor NETWORK que acabamos de crear y seleccionamos Update.

Bien, hemos llegado al final de este artículo, en la última entrega veremos cómo terminamos de configurar el punto de implantación y ejecutamos la instalación del sistema operativo.

Hasta entonces, saludos a todos.

Como prometí en un post de réplica hace unas semanas, vamos a iniciar una serie de entradas en el Blog, sobre las diferentes versiones que nos ofrece Microsoft para Windows Vista y sus características. Analizaremos que sistema nos puede resultar más interesante y cual se puede ajustar más a nuestras necesidades. Para ello además de este, se postearán 3 más dedicados uno a las versiones domésticas, uno a las versiones empresariales y uno la versión Ultimate y al contrato de licencia para las versiones de Windows Vista.

Desde hace ya algún tiempo, Microsoft ha ido generando versiones diferenciando sus características y realizando una marcada diferencia entre el mercado doméstico y el mercado empresarial, ofreciendo funcionalidades diferentes para cada sector, a la vez que se ajustaban los costes en base a estas funcionalidades. El problema se presentaba en que en muchas ocasiones se acababa pagando por funcionalidades que nunca se acababan utilizando o si disponía de una versión queríamos utilizar funcionalidades aportadas por otra versión. De cara a intentar llegar a todos los posibles mercados y aportar diferentes funcionalidades se han propuesto hasta 6 versiones diferentes de producto con sus elementos diferenciadores.

A estas alturas algunos se estarán preguntando porque tantas versiones y no una y que cada cual decida que tener… Llevémoslo a otro sector y hagamos una comparativa. Un buen día decido cambiar de coche y me acerco al concesionario x buscando precios para un coche que ha salido nuevo y del que me gustaría disfrutar. Bueno, pues resulta que cuando nos ponemos a hablar con el vendedor resulta que del modelo del coche elegido tenemos tropecientas versiones: que si con clima, AA, elevalunas, las llantas, la pintura, el navegador, velocidad de crucero, sensores de distancia y lluvía, ordenador de a bordo, etc. Nadie se sorprende, compramos uno base y le empezamos a añadir funciones hasta que nos cuadra sus prestaciones y sus precios, y nadie se asusta (o sí), claro lo que queremos es todos los accesorios con el precio más barato, pero ya sabemos que eso no nos lo da nadie.

De cara al nuevo Sistema Operativo Cliente de Microsoft, nos ofrecen las siguientes versiones: Starter Edition, Home Basic, Home Premium, Business Edition, Enterprise Edition y Ultimate Edition.

 En post posteriores analizaremos las diferentes versiones, en este veremos la versión de Starter Edition. Esta versión que ya tuvo su homónima en la versión de Windows XP, no llegará a España, debido a su función. El objetivo con esta versión es hacer llegar a países menos desarrollados a nivel informático un producto que les permita la iniciación a la informática, limitando algunas de sus funcionalidades originales para poder funcionar en máquinas con menores prestaciones. Se incorporará en equipos nuevos, de bajo coste, en formato OEM (Original Equipment Manufacture), a través de distribuidores Microsoft OEM.

Incorpora muchas de las funcionalidades de la versión Home Basic, incluidas aquellas correspondientes a los mecanismos de seguridad: Windows defender, control parental, mecanismos de seguridad de I.E. 7.0 y uso de cuentas estándar. También incorpora los elementos de conectividad con Internet y de dispositivos. No incorpora las funciones de Aero, ni la aportación visual que si acompaña otras versiones, al igual que todos aquellos elementos destinados a mecanismos de tipo empresarial.

Referencias Externas

 —————————————————————-

Descripción general de versiones

Windows Vista Starter