Servidores con software propietario
2.1.- Características del software propietario
2.2.- Características de instalación para servidores
2.2.1.- Instalación
2.2.2 .- Configuración
2.3.- Administración de recursos
2.3.1.- Tipos de recursos
2.3.2.- Administracion de los recursos
2.3.3.- Administracion de cuentas de usuario y de equipo
2.3.4.- Administracion de grupos
2.3.5.- Administracion del acceso a recursos
2.3.6 .- Administracion de los servicios de impresion
2.4.- Medición y desempeño
2.4.1.- Desempeño
2.4.2.- Herramientas de medicion
2.4.3.- Indicadores de desempeño
2.4.4.- Roadmap
2.5.- Seguridad e integridad
2.5.1.- Seguridad por software
2.5.2.- Seguridad por hardware
2.5.3.- Plantillas de seguridad para proteger los equipos
2.5.4.- Configuracion de la auditoria
2.5.5.- Administrar registros de seguridad
2.6 .- Normatividad de uso
2.6.1.- Politicas y reglamentos de uso de los servidores
2.6.2.- Politicas y reglamentos para los usuarios
Software propietario. Se refiere a cualquier programa
informático en el que los usuarios tienen limitadas las posibilidades de
usarlo, modificarlo o redistribuirlo (con o sin modificaciones), o cuyo
código fuente no está disponible o el acceso a éste se encuentra
restringido
2.1.- Características del software propietario
Para la Fundación para el Software Libre (FSF) este concepto se
aplica a cualquier software que no es libre o que sólo lo es
parcialmente , sea porque su uso, redistribución o modificación está
prohibida, o requiere permiso expreso del titular del software.
Definicion: Cualquier programa informático en el que el usuario tiene
limitaciones para usarlo, modificarlo o redistribuirlo (esto último con o
sin modificaciones).
Para la Fundación para el Software Libre (FSF) este concepto se aplica a cualquier software que no es libre o que sólo lo es parcialmente (semilibre), sea porque su uso, redistribución o modificación está prohibida, o requiere permiso expreso del titular del software.
Caracteristicas:
-Facilidad de adquisición ( puede venir preinstalado con la compra del pc, o encontrarlo fácilmente en las tiendas ).
- Existencia de programas diseñados especificamente para desarrollar una tarea.
- Las empresas que desarrollan este tipo de software son por lo general grandes y pueden dedicar muchos recursos, sobretodo económicos, en el desarrollo e investigación.
- Interfaces gráficas mejor diseñadas.
- Más compatibilidad en el terreno de multimedia y juegos.
- Mayor compatibilidad con el hardware.
- No existen aplicaciones para todas las plataformas ( Windows y Mac OS ).
- Imposibilidad de copia.
- Imposibilidad de modifación.
- Restricciones en el uso ( marcadas por la licencia).
- Imposibilidad de redistribución.
- Por lo general suelen ser menos seguras.
- El coste de las aplicaciones es mayor.
- El soporte de la aplicación es exclusivo del propietario.
- El usuario que adquiere software propietario depende al 100% de la empresa propietaria.
Para la Fundación para el Software Libre (FSF) este concepto se aplica a cualquier software que no es libre o que sólo lo es parcialmente (semilibre), sea porque su uso, redistribución o modificación está prohibida, o requiere permiso expreso del titular del software.
Caracteristicas:
-Facilidad de adquisición ( puede venir preinstalado con la compra del pc, o encontrarlo fácilmente en las tiendas ).
- Existencia de programas diseñados especificamente para desarrollar una tarea.
- Las empresas que desarrollan este tipo de software son por lo general grandes y pueden dedicar muchos recursos, sobretodo económicos, en el desarrollo e investigación.
- Interfaces gráficas mejor diseñadas.
- Más compatibilidad en el terreno de multimedia y juegos.
- Mayor compatibilidad con el hardware.
- No existen aplicaciones para todas las plataformas ( Windows y Mac OS ).
- Imposibilidad de copia.
- Imposibilidad de modifación.
- Restricciones en el uso ( marcadas por la licencia).
- Imposibilidad de redistribución.
- Por lo general suelen ser menos seguras.
- El coste de las aplicaciones es mayor.
- El soporte de la aplicación es exclusivo del propietario.
- El usuario que adquiere software propietario depende al 100% de la empresa propietaria.
2.2.- Características de instalación para servidores
2.2.1.- Instalación
Instalar Windows Server 2008 se ha vuelto bastante sencillo, siguiendo los pasos siguientes vamos a comentar algunos aspectos:
El primer paso es escoger configuraciones como idioma, país, moneda,
… El segundo paso es el tema de la clave de licencia, si no
introducimos ninguna clave se nos abre la ventana 3 en la cual podemos
escoger qué edición de Windows Server 2008 queremos instalar. Hay que
tener en cuenta que la versión a instalar tiene que corresponder con la
posterior entrada de la licencia. El tercer paso corresponde a la
ventana 4, donde si estamos instalando el Windows Server 2008 sobre
otro sistema operativo, entonces tendremos las dos opciones habilitadas
(Updgrade o Custom), si por el contrario es una nueva instalación sólo
tendremos habilitado la opción de Custom. El cuarto paso es instalar el
sistema, tener paciencia y todo abrá acabado una vez reiniciado el
ordenador.
Una vez reiniciado la máquina se nos presenta la ventana para
identificarnos, durante el proceso de instalación hemos tenido que
configurar estos datos. Cuando estamos identificados se nos abre el
componente Initial Configuration Tasks, una de las mejoras que lleva el
Windows Server 2008.
Windows Initial Configuration Tasks
En esta ventana podemos configurar todos aquellos aspectos que nos
quedan pendientes como: networking, computer name and domain, updating,
y más.
Es extremadamente aconsejable que el primer paso a realizar sea la
actualización del Windows Server 2008 para instalar las mejoras, se
debe de clicar en el botón “Download and instal updates”.
El mismo libro aconseja a los usuarios de fortalecer sus defensas
delante intrusos como virus, troyanos, malwares, gusanos,… mediante la
compra de un firewall (marcas como Juniper y D-LINK tienen estos
productos a un precio muy económico).
Entendiendo el product activation
Vamos a intentar explicar con un poco más de detalle cómo se gestiona la activación del producto en Windows Server 2008.
La activación del producto es un sistema antipiratería, como muy
bien sabréis todos. En esencia, cuando se instala un Windows Server
2008 en una máquina con una licencia concreta, es creada una clave hash
única para cada instalación que sale de un algoritmo secreto de Windows
pero que se basa en datos del hardware de la máquina y en la licencia
del software. Este hash es enviado a Microsoft para que lo valide y
active el producto. La activación de la licencia podría dar error en
dos caso: se está instalando 1 licencia en varios ordenadores o bien ha
habido un cambio en el hardware del ordenador que implique un cambio en
el hash de activación.
Igual que en la mayoría de productos Microsoft, se tiene un periodo
de gracia de 30 días para activar la licencia, si transcurre este
tiempo y no se ha activado el producto, éste no nos permitirá la
entrada al sistema una vez nos loguemos en el ordenador.
Existen dos tipos de licenciamiento para Windows Server 2008: una
licencia para una máquina (parecido a OEM pero con algunos matices) y
licencias ditribuidas. Este último tipo de licenciamiento se gestiona
con la herramienta Volume Activation 2.0 permitiendo activar máquina
individuales en una red con una licencia gestionada centralmente. Esta
gestión de red se hace con la herramienta Key Management Service (KMS).
Una vez entendido el proceso, a ”grosso modo”, de instalación de
Windows Server 2008, vamos a hablar de cómo realizar el despliegue. En
este apartado vamos a hablar de:
- Windows Imaging format
- Windows PE
- Windows Deployment Services
Windows Imaging Format (WIM)
Windows Vista fue el primero en introducir el Windows Imaging
Format, una manera de crear imágenes de sistemas operativos con un
formato de hardware independiente. WIM permite la creación de múltiple
imágenes en un fichero WIM. La principal mejora de los formatos WIM es
la habilidad de editar imágenes offline usando herramientas externas de
gestión como Internet Explorer, se pueden añadir ficheros y carpetas a
la imagen, y realizar muchas más gestiones complejas. Lo mejor de todo
es que para cada cambio no es necesario crear una imagen nueva.
Windows PE (Windows Pre Environment)
Windows PE es un entorno de ejecución diseñado como asistente para
la instalación de sistemas operativos. Este nuevo formato es mucho más
visual y sencillo de usar, y contiene muchas herramientas adicionales
para configurar.
Windows Deployment Services (WDS)
Es la evolución de la herramienta Remote Installation Services
(RIS), que permite gestionar la instalación de sistemas operativos a
través de la red. Los principales cambios entre Windows Deployment
Services y el antiguo RIS son:
- La habilidad de desplegar Windows Vista y Windows Server 2008 frente la simpleza de sistemas operativos antiguos.
- Windows PE puede ser usado como sistema operativo de arranque
- Soporte para despliegues de WIM
- Transmitir datos e imágenes usando la función multicast, de forma más escalable y eficiente
- Mejoras en PXE server (Preboot Executation Environment)
- Nuevo formato del menú de arranque, fácil de usar y fácil de configurar
- Una consonla que ayuda a gestionar el WDS servers en tu red
Siguiendo con el tema de WDS, existen 2 tipos de WDS server que se
pueden crear: un transport server y un deployment server. El transport
server sólo ofrece los servicios de networking del núcleo, no ofrece
todas las funcionalidades de WDS. El deployment server ofrece todo el
WDS, incluyendo el transport server components.
Los principales requerimientos para poder instalar Windows Deployment Services son:
- Tener una máquina con Windows Server 2008 dentro de un dominio
- Tener DHCP funcionando en la red
- Tener una arquitectura DNS correcta
- Tener una partición de disco en formato NTFS
- Tener una cuenta de usuario que sea usuario del dominio y usuario administrador en el servidor que corra WDS
Para poder instalar WDS sólo se tiene que ir a “Server Manager” clicar en “Add Roles” y seleccionar Windows Deployment Services.
Para poder configurar el WDS existe una linea de comandos llamada
WDSUTIL y un componente gráfico que a continuación mostraremos los
pasos de configuración:
En el primer paso seleccionamos de la lista de roles WDS para
instalarlo. El segundo paso se nos muestra una explicación de WDS, le
damos a siguiente. El tercer paso es seleccionar qué tipo de rol de WDS
queremos instalar, como hemos explicado antes la mejor opción es marcar
los dos. El cuarto paso se abre la ventana de Wizard para instalar el
WDS, que nos guiará con los siguientes pasos:
El quinto paso es seleccionar la localización de la carpeta donde
guardaremos la imagen que vamos a distribuir a los clientes. Recordar
que esta carpeta debe de estar en una partición con formato NTFS,
también se recomienda que esta partición no contenga ficheros de
windows para un mejor funcionamiento. El sexto paso es configurar el
PXE Server, en este paso se nos pregunta cómo queremos gestionar las
peticiones de nuevos ordenadores en el Active Directory. En este
ejemplo no se responde a ningún cliente de forma automática, se
gestionará manualmente. El séptimo paso se nos indica que todo ha ido
bien y que queremos añadir imágenes al WDS. En el séptimo paso debemos
añadir las imágenes de arranque, ya sean las creadas con PXE y
gestionada con Windows PE o bien imágenes desde dispositivos como CD o
DVD. Debemos navegar por las carpetas hasta seleccionar la imagen,
clicamos con botón derecho sobre la carpeta y seleccionamor ADD BOOT
IMAGE. Seleccionamos un nombre para la imagen y la cargamos en el WDS
Server, en la carpeta compartida, listo ya para desplegar esta imagen
en la red.
2.2.2 .- Configuración
En
esta demostración de configuración de Server procederemos a hacer
las configuraciones típicas iniciales dejando la posibilidad de seguir
administrando a través de interfaz gráfica.
A
los efectos demostrativos, cuento con la instalación de un Windows
Server 2008 como controlador de dominio y un Server Core ya instalado
el cual será configurado como servidor miembro en el dominio.
El controlador de dominio tiene la siguiente configuración:
El controlador de dominio tiene la siguiente configuración:
· Sistema Operativo: Windows Server 2008 – Enterprise Edition – x86
· Dirección IP / Máscara de subred: 192.168.1.200 / 24
· Nombre de dominio: Contoso.msft
· Nombre del equipo: DC1.contoso.msft
Voy
a presuponer es que recién lo hemos instalado y solamente hemos puesto
una contraseña a la cuenta Administrator, y por lo tanto hemos iniciado
sesión.
Lo único a tener en cuenta es que como es normal en Windows 2008, la contraseña debe tener por los menos siete caracteres, no incluir parte o nombre del propio usuario y contener tres clases de caracteres (entre mayúsculas, minúsculas, números y simbolos).
Lo único a tener en cuenta es que como es normal en Windows 2008, la contraseña debe tener por los menos siete caracteres, no incluir parte o nombre del propio usuario y contener tres clases de caracteres (entre mayúsculas, minúsculas, números y simbolos).
¿Y
ahora? Hay que reconocerlo muchos administradores de red actualmente no
están acostumbrados a manejarse a través de la línea de comandos, y por
las dudas para el que todavía no lo tenga claro, eso NO es DOS J
La
configuración inicial de Core Server es un equipo con un nombre
generado aleatoriamente, configuración de TCP/IP a través de DHCP, y
como si fuera poco con el Firewall activo. Podemos ver esto ejecutando:
IPCONFIG /ALL
Configuración de Red
En nuestro caso asignaré los siguientes parámetros:
Dirección IP: 192.168.1.101
Máscara de Subred: 255.255.255.0
DNS Server: 192.168.1.200
Puerta de Enlace: 192.168.1.1
Dirección IP: 192.168.1.101
Máscara de Subred: 255.255.255.0
DNS Server: 192.168.1.200
Puerta de Enlace: 192.168.1.1
Para eso ejecutaremos:
NETSH INTERFACE IPV4 SET ADDRESS NAME=”Local Area Connection” SOURCE=STATIC 192.168.1.101 255.255.255.0 192.168.1.1
NETSH INTERFACE IPV4 ADD DNSSERVER NAME=”Local Area Connection” ADDRESS=192.168.1.200
También lo podemos verificar con:
NETSH INTERFACE IPV4 SHOW CONFIG
Configuración de Nombre de Máquina
En este ejemplo, renombraré el equipo con el nombre: CS-01
NETDOM RENAMECOMPUTER %COMPUTERNAME% /NEWNAME:CS-01
Se
observa que estoy aprovechando el uso de la variable de entorno
%computername% para no tener que ingresar el nombre generado por la
instalación
Para
que el cambio surta efecto debemos reiniciar la máquina. Aunque se
puede hacer pulsando CTRL+ALT+DEL y elegiendo reiniciar, para ir
familiarizándonos con el intérprete de comandos lo haré con:
SHUTDWON /R /T 0
Configuración de Formato de Fecha y Hora
Esto lo haremos con:
CONTROL INTL.CPL
Configuración de Zona Horaria
Esto lo haremos con:
CONTROL TIMEDATE.CPL
Configuración de Windows Update
Para
configurar Windows Update debemos ejecutar un script que está en
\Windows\System32 así que opté por cambiarme a dicha carpeta con:
CD \WINDOWS\SYSTEM32
Y ejecutamos el script con:
CSCRIPT SCREGEDIT.WSF /AU 4
Con “/AU 1” se deshabilitan
Con esto podemos tener algún problema si para salir a Internet es obligatorio configurar la dirección de un Proxy.
Podemos solucionarlo, por lo menos en parte, ya que se puede asignar una dirección de Proxy, lo que no se puede es usar autenticación.
Para asignar un proxy ejecutaremos:
Podemos solucionarlo, por lo menos en parte, ya que se puede asignar una dirección de Proxy, lo que no se puede es usar autenticación.
Para asignar un proxy ejecutaremos:
NETSH WINHTTP SET PROXY <proxyserver:port>
Activación de la Instalación
Como
en todas las instalaciones de Windows Server 2008 disponemos
inicialmente de un período de gracia para usar la instalación sin
introducir la Clave de Activacion y sin activarlo.
Para
ver y configurar estas opciones se utiliza el script SLMGR.VBS que si
lo ejecutamos sin parámetros nos mostrará todas las opciones disponibles
Verificamos con: SLMGR.VBS -dlv o SLMGR.VBS -xpr
Introducimos la clave con: SLMGR.VBS –ipk <product-key>
Y activamos con: SLMGR.VBS -ato
Para prolongar la evaluación: SLMGR.VBS -rearm
Unir la Máquina al Dominio
Para esto debemos ejecutar:
NETDOM JOIN CS-01 /DOMAIN:CONTOSO.MSFT /USERD:ADMINISTRATOR /PASSWORDD:*
Y reiniciamos la máquina
Editar Archivos de Texto
El Notepad existe!!!
Modificando el Registro
Y también podemos modificar el Registro en forma gráfica, para todos los “trucos” que conozcamos
Para los que Desean Investigar
Para
todo aquel que conozca y le guste ver qué se puede hacer desde línea de
comando le sugiero moverse a la carpeta Windows y usando el conocido
DIR, ver qué encuentran en busca de ejecutables y scripts. Por ejemplo:
DIR *.EXE /S /P
Configuración para Administración GráficaRemota
Como
primera opción permitiremos la administración remota del Firewall
(Cortafuegos) y luego la administración remota con Consola (MMC.EXE) ya
que ambas serán necesarias ahora o a futuro.
De
todas formas, como comenté algunas cosas las tendremos que hacer desde
línea de comandos, como por ejemplo Agregar/Quitar Roles y Features, o
promocionarlo a Controlador de Dominio.
Permitir Administración Remota del Firewall (Cortafuegos)
Para permitir la administración remota desde interfaz gráfica del Firewall debemos ejecutar:
NETSH ADVFIREWALL SET CURRENTPROFILE SETTINGS RemoteManagement ENABLE
Permitir Administración Remota Mediante Consolas
Para administración remota con consolas MMC, utilizamos:
NETSH ADVFIREWALL FIREWALL SET RULE GROUP=”Remote Administration” NEW ENABLE=YES
Administración Remota y Gráfica
Desde
otra máquina del dominio he creado una consola MMC cargando dos Snap-In
típicos, el que permite administración del Firewall y la administración
de la máquina. Se pueden cargar los complementos que crean más
convenientes para su situación.
Agregar/Quitar Roles y Features
Aunque
tengamos la administración remota por consola MMC habilitada, aún hay
configuraciones que se deben hacer desde línea de comandos.
Entre otras, lo que sea agregar o quitar Roles y Features lo debemos hacer por línea de comandos.
Un
comando que nos resultará particularmente útil, aunque ahora no lo
parezca es poder listar los Roles y Features instalados o no. Lo
podemos hacer simplemente con:
OCLIST
Para
agregar componentes alcanza con usar OCSETUP y el nombre de lo que
deseamos agregar. Es importante tener en cuenta que el nombre del
componente es sensible a mayúsculas-minúsculas, por lo que la salida
del comando OCLIST tiene importancia.
OCSETUP <Componente-a-Agregar>
Para quitar un componente es:
OCSETUP <Componente-a-Quitar> /Uninstall
A partir de tener el componente instalado, podemos usar remotamente una consola MMC para hacer la administración del mismo.
Algunos Comandos Utiles
Revisar en cada caso: <comando> /?
Informativos del Sistema
|
SYSTEMINFO
MSINFO32
SET
WHOAMI
HOSTNAME
|
Administrar Grupos y Usuarios
|
NET GROUP
NET LOCALGROUP
NET ACCOUNTS
NET USER
|
Configuración de Servicios y Procesos
|
SC …
NET STOP
NET START
NET PAUSE
TASKLIST
TASKKILL
TASKMGR
|
Administración de Discos
|
DISKPART
FORMAT
DEFRAG
CONVERT
|
Manejo de Permisos
|
ICACLS
NET SHARE
TAKEOWN
|
Group Policies
|
GPUPDATE
GPRESULT
|
Llegados
a este punto hemos podido hacer una configuración básica de Server, con
la posibilidad de administrarlo remotamente con la conocida
interfaz gráfica.
2.3.- Administración de recursos
2.3.1.- Tipos de recursos
-Hardware
- Impresoras
- Memoria Ram
- Procesador
- Almacenamiento
-Software
- Programas
2.3.2.- Administracion de los recursos
El Administrador de recursos del sistema de Windows para el sistema
operativo Windows Server® 2008 R2 permite administrar el uso del
procesador y la memoria del servidor con directivas de recursos
estándar o personalizadas. La administración de los recursos le puede
ayudar a garantizar que todos los servicios que proporciona un único
servidor estén disponibles de forma equivalente o que los recursos para
aplicaciones, servicios o usuarios de alta prioridad están siempre
disponibles.
El Administrador de recursos del sistema de
Windows solo administra los recursos del procesador cuando la carga
combinada del procesador es superior al 70 por ciento. Esto significa
que no limita de forma activa los recursos que puede utilizar cada
consumidor cuando la carga del procesador es baja. En caso de
contención para los recursos de procesador, las directivas de
asignación de recursos ayudan a garantizar la disponibilidad mínima de
los recursos según el perfil de administración definido.
Características del Administrador de recursos del sistema de Windows
El Administrador de recursos del sistema de Windows se puede utilizar para lo siguiente:
- Administrar los recursos del sistema (procesador y memoria) con directivas preconfiguradas, o crear directivas personalizadas que asignen recursos por procesos, por usuarios, por sesiones de Servicios de Escritorio remoto o por grupos de aplicaciones de Internet Information Services (IIS).
- Utilizar reglas de calendario para aplicar directivas distintas en momentos distintos sin intervención manual y sin modificar la configuración.
- Seleccionar automáticamente directivas de recursos basadas en propiedades de servidor y eventos (como eventos de clúster o condiciones), o bien en modificaciones de la memoria física instalada o del número de procesadores.
- Recopilar datos de utilización de recursos localmente o en una base de datos SQL personalizada. Los datos de utilización de recursos de varios servidores se pueden consolidar en un solo equipo que ejecute el Administrador de recursos del sistema de Windows.
- Crear un grupo de equipos para facilitar la organización de los servidores que desea administrar. Las directivas de un grupo entero de equipos se pueden exportar o modificar fácilmente.
Ventajas de la administración de recursos
Puesto
que Windows Server 2008 R2 está diseñado para ofrecer el máximo posible
de recursos a las tareas que no dependen del sistema operativo, un
servidor que ejecuta un solo rol normalmente no requiere la
administración de recursos. No obstante, cuando hay instalados varios
servicios y aplicaciones en un solo servidor, éstos no tienen en cuenta
los demás procesos. Normalmente, una aplicación o un servicio no
administrados utilizan todos los recursos disponibles para completar
una tarea. Por lo tanto, es importante utilizar una herramienta como el
Administrador de recursos del sistema de Windows para administrar los
recursos del sistema en los servidores multipropósito. La utilización
del Administrador de recursos del sistema de Windows supone dos
ventajas clave:
- Se pueden ejecutar más servicios en un solo servidor porque se puede mejorar la disponibilidad de los servicios mediante recursos administrados de forma dinámica.
- Los usuarios o administradores del sistema de máxima prioridad pueden obtener acceso al sistema incluso en los momentos de máxima carga de los recursos.
Métodos de la administración de recursos
El
Administrador de recursos del sistema de Windows incluye cinco
directivas de administración de recursos integradas que se pueden usar
para implementar rápidamente la administración. Además, se pueden crear
directivas de administración de recursos personalizadas adaptadas a sus
necesidades.
Directivas de administración de recursos integradas
Para
habilitar directivas de administración de recursos integradas,
seleccione el tipo de directiva que se desea utilizar. No es necesario
realizar ninguna otra configuración.
| Directiva | Descripción | ||
|---|---|---|---|
| Igual por proceso | Cuando se administra el sistema con la directiva de asignación de recursos Igual por proceso, se da un trato igual a todos los procesos en ejecución. Por ejemplo, si un servidor que ejecuta diez procesos alcanza el 70 por ciento de uso del procesador, el Administrador de recursos del sistema de Windows limitará cada proceso al 10 por ciento de los recursos del procesador mientras se encuentren en contención. Tenga en cuenta que los recursos no utilizados por procesos con poca utilización serán asignados a otros procesos. | ||
| Igual por usuario | Cuando la directiva de asignación de recursos Igual por usuario administra el sistema, los procesos se agrupan en función de la cuenta de usuario que los está ejecutando y cada uno de estos grupos de procesos recibe un tratamiento equivalente. Por ejemplo, si hay cuatro usuarios ejecutando procesos en el servidor, se asignará a cada usuario el 25 por ciento de los recursos del sistema para completar esos procesos. Se le asignarán los mismos recursos a un usuario que ejecuta una sola aplicación que a uno que ejecute varias. Esta directiva resulta especialmente útil para los servidores de aplicaciones. | ||
| Igual por sesión | Cuando se administra el sistema con la directiva de asignación de recursos Igual por sesión, se asignan los recursos de forma igualitaria para cada sesión conectada al sistema. Esta directiva se usa en los servidores de Escritorio remoto. | ||
| Igual por grupo de aplicaciones de IIS | Cuando se administra el sistema con la directiva de asignación de recursos Igual por grupo de aplicaciones de IIS, se dará un trato igual a cada grupo de aplicaciones de IIS en ejecución, y las aplicaciones que no se encuentren en un grupo de aplicaciones de IIS solo podrán utilizan los recursos que no estén utilizando estos grupos. | ||
| Sesiones remotas ponderadas | Cuando la directiva de asignación de recursos Sesiones remotas ponderadas
administra el sistema, los procesos se agrupan en función de la
prioridad asignada a la cuenta de usuario. Por ejemplo, si hay tres
usuarios conectados de forma remota, el usuario que tenga asignada la
prioridad Premium recibirá el acceso de mayor prioridad a la CPU, el
que tenga asignada la prioridad Estándar recibirá la segunda prioridad
a la CPU y el que tenga asignada la prioridad Básica recibirá la
prioridad menor a la CPU. Esta directiva se usa en los servidores de
Escritorio remoto.
|
Nota Administración de recursos personalizada
Puede
utilizar métodos de administración de recursos personalizados para
identificar a los usuarios de los recursos y asignarles recursos en
función de sus propios criterios.
| Característica | Descripción | ||
|---|---|---|---|
| Criterios coincidentes del proceso | Permite seleccionar servicios o aplicaciones para administrarlos con reglas de directiva de asignación de recursos. Se pueden seleccionar por nombre de archivo o comando, o bien se pueden especificar los usuarios o grupos. Por ejemplo, puede crear un criterio coincidente del proceso que aplique la administración a la aplicación iexplore.exe cuando la ejecuta el usuario Administrador. | ||
| Directivas de asignación de recursos | Asigna los recursos de procesador y memoria a los procesos que se especifican mediante los criterios coincidentes del proceso especificados por el usuario. | ||
| Listas de exclusión | Permiten
excluir aplicaciones, servicios, usuarios o grupos de la administración
por parte del Administrador de recursos del sistema de Windows.
|
||
| Programación | Permite utiliza una interfaz de calendario para controlar eventos únicos o modificaciones periódicas a la asignación de recursos. Puede haber distintas directivas de asignación de recursos activas en distintos momentos del día, en distintos días de la semana o según otros paradigmas de programación. | ||
| Aplicación de directivas condicionales | Permite cambiar automáticamente de directiva de asignación de recursos como respuesta a determinados eventos del sistema (como la instalación de memoria o procesadores adicionales, el inicio o la detención de un nodo, o la modificación de la disponibilidad de un grupo de recursos de un clúster). |
2.3.3.- Administracion de cuentas de usuario y de equipo
Hemos de estar de acuerdo en que una de las funciones del
Administrador(administradores) del sistema es administrar cuentas de
usuarios
 ,  y equipos  .
Al instalar Windows Server 2003 se crean unas cuentas predeterminadas:
- Cuenta Administrador: Tiene control total en el servidor.
- Cuenta invitado: Para aquéllos usuarios sin cuenta real en el
equipo, no requiere contraseña y en principio se encuentra
deshabilitada.
- Cuenta Asistente de ayuda: Con limitado acceso al equipo.
Pero comencemos por ver las cuentas de usuario.
Cuentas de Usuarios
Una cuenta de usuario es un objeto, que consiste en toda la
información que define al usuario en Windows Server 2003. Una cuenta de
usuario puede ser Local o de Dominio, y
consta de un nombre de cuenta(username) y de la contraseña(password)
necesarios para iniciar sesión, de los grupos a los que pertenece dicho
usuario y de los derechos, privilegios y permisos que tiene para
acceder al equipo, la red y los recursos.
Podemos utilizar una cuenta de usuario para permitir a alguien
iniciar sesión en el equipo, así como a procesos y servicios y que se
ejecuten bajo un contexto de seguridad específico y por supuesto, para
el acceso a los recursos como: objetos de AD y sus propiedades,
carpetas compartidas, archivos, directorios y colas de impresión.
Nos encontramos con los siguientes tipos de cuentas, ya mencionados anteriormente:
Cuentas de usuario Locales (Local user accounts): Se almacenan en el equipo que las contiene.
Usuarios y grupos locales se encuentra en Administración de
equipos, un conjunto de herramientas administrativas que puede utilizar
para administrar un único equipo local o remoto. Puede utilizar
Usuarios y grupos locales para proteger y administrar las cuentas de
usuario y los grupos almacenados de forma local en el equipo. A cada
cuenta de usuario o de grupo local se le puede asignar permisos y
derechos en un equipo determinado, y sólo para ese equipo. Usuarios y
grupos locales se encuentra en los siguientes sistemas operativos de
cliente y servidor:
- Clientes que utilicen Microsoft® Windows® 2000 Professional o Windows XP Professional
- Servidores miembro que ejecuten cualquiera de los productos de las familias de servidores de Microsoft Windows 2000 Server o Windows Server 2003 - Servidores independientes que ejecuten cualquiera de los productos de las familias de servidores de Microsoft Windows 2000 Server o Windows Server 2003
No puede utilizar Usuarios y grupos locales para ver las cuentas
de usuario y de grupo locales después de promocionar un servidor
miembro a controlador de dominio. Sin embargo, sí es posible utilizar
Usuarios y grupos locales en un controlador de dominio para administrar
equipos remotos (que no sean controladores de dominio) en la red.
Usando el complemento de administración de equipo, usuarios locales y grupos, podemos:
- crear un usuario local: Abrimos Administración de equipos (clic
derecho MI PC, administrar, o desde herramientas administrativas del
panel de control), nos situamos en usuarios locales y grupos y lo
expandimos, seleccionando Usuarios. En el menú Acción
pulsamos en Usuario nuevo y rellenamos la información correspondiente
en el cuadro de diálogo que nos aparece, luego marcaremos/desmarcaremos
las casillas de verificación que creamos. Pulsamos en Crear y luego en Cerrar.
El nombre del usuario que creemos no puede coincidir con ningún
otro ya existente, o de nombre de grupo existente. Puede contener hasta
20 caracteres excepto los especiales " /\[]:;|=,+*¿?<>, y no
puede estar formado por sólo puntos o espacios.
Las contraseñas pueden contener hasta 127 caracteres, pero si
existen equipos en la red que utilicen Windows 9x habría que utilizar
un máximo de 14 caracteres ya que usar más podría impedir al usuario
iniciar sesión en estos equipos.
Es conveniente utilizar directivas de contraseña adecuadas para mejorar la protección del equipo.
- restablecer su contraseña: Desde el complemento Administración
de equipos, seleccionaremos al usuario que deseamos, haremos clic con
el botón derecho del ratón y seleccionamos Establecer contraseña. Nos sale un mensaje de advertencia, una vez leído pulsamos en continuar, escribiremos la contraseña nueva en ambas cajas de texto, Contraseña nueva y Confirmar contraseña nueva, y pulsamos en Aceptar.
- deshabilitar o activar una cuenta de usuario local: Accederemos
al usuario siguiendo la secuencia ya indicada anteriormente, clic
derecho sobre la cuenta deseada y seleccionamos propiedades. Para
realizar estas tareas tan sólo hemos de marcar/desmarcar la casilla de
verificación La cuenta está deshabilitada.
- Eliminar una cuenta de usuario local: Abriremos Administración
de equipos y haciendo clic con el botón derecho del ratón sobre la
cuenta que queremos eliminar, seleccionaremos Eliminar.
- Cambiar el nombre de una cuenta de usuario local: Clic con el
botón secundario del ratón en la cuenta de usuario cuyo nombre queremos
cambiar, seleccionamos Cambiar nombre, escribimos el nombre nuevo y pulsamos Aceptar.
- Asignar secuencias de comandos de inicio de sesión a una cuenta de usuario local: Accederemos a las propiedades
de la cuenta a la que queremos asignar la secuencia de comandos, desde
la consola Administración de equipos pulsando el botón secundario del
ratón y seleccionando propiedades. En la ficha Perfil, escribiremos el nombre de archivo y la ruta de acceso relativa del mismo en Secuencia de comandos de inicio de sesión.
- asignar una carpeta principal a una cuenta de usuario local: Al
igual que la asignación de una secuencia de comandos de inicio de
sesión, podemos asignar una carpeta principal en Ruta de acceso local (c:\carpetas\usuarios\juansa) de la ficha Perfil, o si se encuentra en un recurso compartido ,haciendo clic en Conectar, seleccionar la letra de unidad y escribir la ruta de acceso.(\\carpetas\usuarios\juansa)
|
2.3.4.- Administracion de grupos
Un grupo de Active
Directory se compone de una colección de objetos (usuarios y equipos, y
otros grupos utilizados para simplificar el acceso a los recursos y
envío de correos electrónicos). Los grupos pueden utilizarse para
asignar derechos administrativos, acceso a recursos de red, o, para
distribuir correo electrónico. Hay grupos de varios sabores, y
dependerá del modo en que el dominio se esté ejecutando el que ciertas
funcionalidades de grupo estén o no disponibles.
Active
Directory de Windows Server 2008 R2 es compatible con dos tipos
ditintos de grupos: Distribución y Seguridad. Ambos tienen sus propios
usos y ventajas, siempre que se utilicen correctamente y se hayan
entendido sus características.
Los
grupos de distribución permiten el agrupamiento de contactos, usuarios
o grupos, principalmente para la distribución de correo electrónico.
Estos tipos de grupos no pueden utilizarse para permitir o denegar el
acceso a recursos del dominio. Las Listas de Control de Acceso
Discrecional (DACLs), que se utilizan para permitir y/o denegar el
acceso a los recursos, o para definir los derechos de usuario, se
componen de Entradas de Control de Acceso (ACEs). Los grupos de
distribución no tienen habilitada la seguridad y no pueden usarse en
las DACL. En algunos casos, esto puede simplificar la administración de
la seguridad cuando necesitamos tener a distribuidores externos
localizados en libretas de direcciones pero nunca necesitarán acceder a
recursos del dominio o bosque.
Los
grupos de seguridad tienen habilitada esta característica y por tanto
pueden utilizarse en la asignación de derechos de usuario y en los
permisos del recurso, o, en la aplicación de directivas de grupo
basadas en AD o directivas de equipo. El uso de un grupo en lugar de
usuarios de forma individual simplifica mucho la administración. Los
grupos pueden crearse para recursos o tareas en particular, y cuando se
efectúan cambios en la lista de usuarios que necesitan acceso, sólo
debe modificarse la pertenencia de grupo para reflejar los cambios en
cada recurso que utiliza este grupo.
Para
llevar a cabo tareas administrativas, los grupos de seguridad pueden
definirse dentro de distintos niveles de responsabilidad. La
granularidad que podemos aplicar es vasta, de hecho una estructura de
grupos funcional es una de las maneras de simplificar la administración
de la empresa.
Los grupos de seguridad también pueden usarse con propósitos de correo electrónico, lo que significa que aunan ambos propósitos.
Además
del tipo, los grupos disponen de un ámbito a seleccionar. El ámbito,
simplemente, marca los límites de quién puede ser miembro, y dónde
puede utilizarse el grupo. Sólo los grupos de seguridad pueden usarse
para delegar control y asignar acceso a recursos. Una clasificación
teniendo en cuenta el ámbito quedaría:
- Grupos locales de dominio.
- Grupos globales.
- Grupos universales.
2.3.5.- Administracion del acceso a recursos
Control de acceso a recursos del equipo
Como administrador del sistema, usted puede controlar y supervisar la actividad del sistema. Puede definir límites sobre quién puede utilizar determinados recursos. Puede registrar el uso de recursos y supervisar quién los está utilizando. También puede configurar los sistemas para minimizar el uso indebido de los recursos.
Limitación y supervisión del superusuario
El sistema requiere una contraseña root para el acceso del superusuario. En la configuración predeterminada, un usuario no puede iniciar sesión de manera remota en un sistema como root. Al iniciar sesión de manera remota, el usuario debe utilizar el nombre de usuario y, luego, el comando su para convertirse en root. Puede supervisar quién ha utilizado el comando su, en especial, aquellos usuarios que están intentando obtener acceso de superusuario. Para conocer los procedimientos para supervisar al superusuario y limitar el acceso al superusuario, consulte Supervisión y restricción de superusuario (mapa de tareas).
Configuración del control de acceso basado en roles para reemplazar al superusuario
El control de acceso basado en roles (RBAC) está diseñado para limitar las capacidades del superusuario. El superusuario (usuario root) tiene acceso a todos los recursos del sistema. Con RBAC, puede reemplazar root con un conjunto de roles con poderes discretos. Por ejemplo, puede configurar un rol para manejar la creación de cuentas de usuario y otro rol para manejar la modificación de archivos del sistema. Una vez que haya establecido un rol para manejar una función o un conjunto de funciones, puede eliminar esas funciones de las capacidades de root.
Cada rol requiere que un usuario conocido inicie sesión con su nombre de usuario y contraseña. Después de iniciar sesión, el usuario asume el rol con una contraseña de rol específica. Como consecuencia, alguien que se entera de la contraseña root tiene una capacidad limitada para dañar el sistema. Para obtener más información sobre RBAC, consulte Control de acceso basado en roles (descripción general).
Prevención del uso indebido involuntario de los recursos del equipo
Puede prevenir que los usuarios y que usted realicen errores involuntarios de las siguientes formas:
Puede evitar ejecutar un caballo de Troya si configura correctamente la variable PATH.
Puede asignar un shell restringido a los usuarios. Un shell restringido previene los errores del usuario al guiar a los usuarios a las partes del sistema que necesitan para su trabajo. De hecho, mediante una configuración cuidadosa, usted puede asegurarse de que los usuarios sólo accedan a las partes del sistema que los ayudan a trabajar de manera eficiente.
Puede establecer permisos restrictivos para los archivos a los que los usuarios no necesitan acceder.
Como administrador del sistema, usted puede controlar y supervisar la actividad del sistema. Puede definir límites sobre quién puede utilizar determinados recursos. Puede registrar el uso de recursos y supervisar quién los está utilizando. También puede configurar los sistemas para minimizar el uso indebido de los recursos.
Limitación y supervisión del superusuario
El sistema requiere una contraseña root para el acceso del superusuario. En la configuración predeterminada, un usuario no puede iniciar sesión de manera remota en un sistema como root. Al iniciar sesión de manera remota, el usuario debe utilizar el nombre de usuario y, luego, el comando su para convertirse en root. Puede supervisar quién ha utilizado el comando su, en especial, aquellos usuarios que están intentando obtener acceso de superusuario. Para conocer los procedimientos para supervisar al superusuario y limitar el acceso al superusuario, consulte Supervisión y restricción de superusuario (mapa de tareas).
Configuración del control de acceso basado en roles para reemplazar al superusuario
El control de acceso basado en roles (RBAC) está diseñado para limitar las capacidades del superusuario. El superusuario (usuario root) tiene acceso a todos los recursos del sistema. Con RBAC, puede reemplazar root con un conjunto de roles con poderes discretos. Por ejemplo, puede configurar un rol para manejar la creación de cuentas de usuario y otro rol para manejar la modificación de archivos del sistema. Una vez que haya establecido un rol para manejar una función o un conjunto de funciones, puede eliminar esas funciones de las capacidades de root.
Cada rol requiere que un usuario conocido inicie sesión con su nombre de usuario y contraseña. Después de iniciar sesión, el usuario asume el rol con una contraseña de rol específica. Como consecuencia, alguien que se entera de la contraseña root tiene una capacidad limitada para dañar el sistema. Para obtener más información sobre RBAC, consulte Control de acceso basado en roles (descripción general).
Prevención del uso indebido involuntario de los recursos del equipo
Puede prevenir que los usuarios y que usted realicen errores involuntarios de las siguientes formas:
Puede evitar ejecutar un caballo de Troya si configura correctamente la variable PATH.
Puede asignar un shell restringido a los usuarios. Un shell restringido previene los errores del usuario al guiar a los usuarios a las partes del sistema que necesitan para su trabajo. De hecho, mediante una configuración cuidadosa, usted puede asegurarse de que los usuarios sólo accedan a las partes del sistema que los ayudan a trabajar de manera eficiente.
Puede establecer permisos restrictivos para los archivos a los que los usuarios no necesitan acceder.
2.3.6 .- Administracion de los servicios de impresion
Cuanto mayor es la organización, mayor es la cantidad de impresoras
dentro de la red y más tiempo necesita el personal de TI para instalar y
administrar esas impresoras; lo cuál se traduce en mayores gastos de
operación. Windows Server 2008 incluye el Gestor de Impresión, que es un
complemento de MMC que permite a los administradores administrar,
supervisar y solucionar problemas en todas las impresoras de la
organización, incluso en las de ubicaciones remotas, desde una misma
interfaz.
El Gestor de Impresión ofrece detalles totalmente actualizados sobre el estado de todas las impresoras y los servidores de impresión de la red desde una consola única. El Gestor de Impresión permite encontrar impresoras con una condición de error y también puede enviar notificaciones por correo electrónico o ejecutar secuencias de comandos cuando una impresora o el servidor de impresión necesitan atención. En modelos de impresora que ofrecen una interfaz web, el Gestor de Impresión puede tener acceso a estos datos adicionales. Esto permite administrar fácilmente información como niveles de tóner y papel, aún cuando las impresoras se encuentran en ubicaciones remotas. Además, Administración de impresión puede buscar e instalar automáticamente impresoras de red en la subred local de servidores de impresión locales.
El Gestor de Impresión supone para los administradores un ahorro de tiempo importante a la hora de instalar impresoras en equipos cliente, así como al administrarlas y supervisarlas. En vez de tener que instalar y configurar conexiones de impresora en equipos individuales, el Gestor de Impresión se puede usar con directivas de grupo para agregar automáticamente conexiones de impresora a la carpeta Impresoras y faxes de un equipo cliente.
Esta es una manera eficaz y que ahorra tiempo cuando se agregan impresoras para muchos usuarios que requieren acceso a la misma impresora, como por ejemplo usuarios en el mismo departamento o todos los usuarios en la ubicación de una sucursal. Las opciones provistas de automatización e interfaz centralizada de control incluidas dentro del Gestor de Impresión para instalar, compartir y administrar impresoras simplifican la administración y reducen el tiempo requerido por personal de TI para implementar impresoras.
El Gestor de Impresión ofrece detalles totalmente actualizados sobre el estado de todas las impresoras y los servidores de impresión de la red desde una consola única. El Gestor de Impresión permite encontrar impresoras con una condición de error y también puede enviar notificaciones por correo electrónico o ejecutar secuencias de comandos cuando una impresora o el servidor de impresión necesitan atención. En modelos de impresora que ofrecen una interfaz web, el Gestor de Impresión puede tener acceso a estos datos adicionales. Esto permite administrar fácilmente información como niveles de tóner y papel, aún cuando las impresoras se encuentran en ubicaciones remotas. Además, Administración de impresión puede buscar e instalar automáticamente impresoras de red en la subred local de servidores de impresión locales.
El Gestor de Impresión supone para los administradores un ahorro de tiempo importante a la hora de instalar impresoras en equipos cliente, así como al administrarlas y supervisarlas. En vez de tener que instalar y configurar conexiones de impresora en equipos individuales, el Gestor de Impresión se puede usar con directivas de grupo para agregar automáticamente conexiones de impresora a la carpeta Impresoras y faxes de un equipo cliente.
Esta es una manera eficaz y que ahorra tiempo cuando se agregan impresoras para muchos usuarios que requieren acceso a la misma impresora, como por ejemplo usuarios en el mismo departamento o todos los usuarios en la ubicación de una sucursal. Las opciones provistas de automatización e interfaz centralizada de control incluidas dentro del Gestor de Impresión para instalar, compartir y administrar impresoras simplifican la administración y reducen el tiempo requerido por personal de TI para implementar impresoras.
2.4.- Medición y desempeño
2.4.1.- Desempeño
El sistema está optimizado para que las búsquedas tengan una respuesta
muy rápida (si el servidor y la red lo permiten). El interfaz está
optimizado para facilitar y hacer más eficiente la labor de los
bibliotecarios. Por ejemplo, para devolución de libros se requiere un
solo paso.Para prestar un libro se requieren dos pasos: ingresar el
código del usuario e ingresar el número del ítem a prestar (o código de
barras).
2.4.2.- Herramientas de medicion
El Monitor de confiabilidad y rendimiento de Windows es un complemento
de Microsoft Management Console (MMC) que combina la funcionalidad de
herramientas independientes anteriores, incluidos Registros y alertas de
rendimiento, Server Performance Advisor y Monitor de sistema.
Proporciona una interfaz gráfica para personalizar la recopilación de
datos de rendimiento y sesiones de seguimiento de eventos.
También incluye el Monitor de confiabilidad, un complemento de MMC que lleva un seguimiento de los cambios producidos en el sistema y los compara con los cambios de estabilidad del sistema, proporcionando una vista gráfica de su relación.
También incluye el Monitor de confiabilidad, un complemento de MMC que lleva un seguimiento de los cambios producidos en el sistema y los compara con los cambios de estabilidad del sistema, proporcionando una vista gráfica de su relación.
2.4.3.- Indicadores de desempeño
Indicadores del Rendimiento de un Computador
Los indicadores del rendimiento de un computador son una serie de parámetros que conforma una modelo simplificado de la medida del rendimiento de un sistema y son utilizados por los arquitectos de sistemas, los programadores y los constructores de compiladores, para la optimización del código y obtención de una ejecución más eficiente. Dentro de este modelo, estos son los indicadores de rendimiento más utilizados:
Los indicadores del rendimiento de un computador son una serie de parámetros que conforma una modelo simplificado de la medida del rendimiento de un sistema y son utilizados por los arquitectos de sistemas, los programadores y los constructores de compiladores, para la optimización del código y obtención de una ejecución más eficiente. Dentro de este modelo, estos son los indicadores de rendimiento más utilizados:
Turnaround Time
El tiempo de respuesta. Desde la entrada hasta la salida, por lo que incluye accesos a disco y memoria, compilación, sobrecargas y tiempos de CPU. Es la medida más simple del rendimiento.
En sistemas multiprogramados no nos vale la medida del rendimiento anterior, ya que la máquina comparte el tiempo, se produce solapamiento E/S del programa con tiempo de CPU de otros programas. Necesitamos otra medida como es el TIEMPO CPU USUARIO.
El tiempo de respuesta. Desde la entrada hasta la salida, por lo que incluye accesos a disco y memoria, compilación, sobrecargas y tiempos de CPU. Es la medida más simple del rendimiento.
En sistemas multiprogramados no nos vale la medida del rendimiento anterior, ya que la máquina comparte el tiempo, se produce solapamiento E/S del programa con tiempo de CPU de otros programas. Necesitamos otra medida como es el TIEMPO CPU USUARIO.
Tiempo de cada ciclo ( )
El tiempo empleado por cada ciclo. Es la constante de reloj del procesador. Medida en nanosegundos.
El tiempo empleado por cada ciclo. Es la constante de reloj del procesador. Medida en nanosegundos.
Frecuencia de reloj (f)
Es la inversa del tiempo de ciclo. f = 1/ . Medida en Megahertz.
Es la inversa del tiempo de ciclo. f = 1/ . Medida en Megahertz.
Total de Instrucciones (Ic)
Es el número de instrucciones objeto a ejecutar en un programa.
Es el número de instrucciones objeto a ejecutar en un programa.
Ciclos por instrucción (CPI)
Es el número de ciclos que requiere cada instrucción. Normalmente, CPI = CPI medio.
Es el número de ciclos que requiere cada instrucción. Normalmente, CPI = CPI medio.
2.4.4.- Roadmap
Un RoadMap (que podría traducirse como hoja de ruta) es una
planificación del desarrollo de un software con los objetivos a corto y
largo plazo, y posiblemente incluyendo unos plazos aproximados de
consecución de cada uno de estos objetivos. Se suele organizar en hitos o
"milestones", que son fechas en las que supuestamente estará finalizado
un paquete de nuevas funcionalidades.
Para los desarrolladores de software, se convierte en una muy buena práctica generar un Roadmap, ya que de esta forma documentan el estado actual y posible futuro de su software, dando una visión general o específica de hacia adónde apunta a llegar el software.
La expresión Roadmap se utiliza para dar a conocer el "trazado del camino" por medio del cual vamos a llegar del estado actual al estado futuro. Es decir, la secuencia de actividades o camino de evolución que nos llevará al estado futuro.
Para los desarrolladores de software, se convierte en una muy buena práctica generar un Roadmap, ya que de esta forma documentan el estado actual y posible futuro de su software, dando una visión general o específica de hacia adónde apunta a llegar el software.
La expresión Roadmap se utiliza para dar a conocer el "trazado del camino" por medio del cual vamos a llegar del estado actual al estado futuro. Es decir, la secuencia de actividades o camino de evolución que nos llevará al estado futuro.
2.5.- Seguridad e integridad
2.5.1.- Seguridad por software
La seguridad del sistema de software, un elemento de la seguridad total y
programa de desarrollo del software, no se puede permitir funcionar
independientemente del esfuerzo total. Los sistemas múltiples simples y
altamente integrados están experimentando un crecimiento extraordinario
en el uso de computadoras y software para supervisar y/o controlar
subsistemas o funciones seguridad-críticos. A especificación del
software el error, el defecto de diseño, o la carencia de requisitos
seguridad-críticos genéricos pueden contribuir a o causar un fallo del
sistema o una decisión humana errónea. Para alcanzar un nivel aceptable
de la seguridad para el software usado en usos críticos, la ingeniería
de la seguridad del sistema de software se debe dar énfasis primario
temprano en la definición de los requisitos y el proceso del diseño
conceptual del sistema. el software Seguridad-crítico debe entonces
recibir énfasis de la gerencia y análisis continuos de la ingeniería a
través del desarrollo y ciclos vitales operacionales del sistema.
2.5.2.- Seguridad por hardware
La seguridad del hardware se refiere a la protección de objetos frente a
intromisiones provocadas por el uso del hardware. A su vez, la
seguridad del hardware puede dividirse en seguridad física y seguridad
de difusión. En el primer caso se atiende a la protección del
equipamiento hardware de amenazas externas como manipulación o robo.
Todo el equipamiento que almacene o trabaje con información sensible
necesita ser protegido, de modo que resulte imposible que un intruso
acceda físicamente a él. La solución más común es la ubicación del
equipamiento en un entorno seguro.
La seguridad de difusión consiste en la protección contra la emisión de señales del hardware. El ejemplo más común es el de las pantallas de ordenador visibles a través de las ventanas de una oficina, o las emisiones electromagnéticas de algunos elementos del hardware que adecuadamente capturadas y tratadas pueden convertirse en información. De nuevo, la solución hay que buscarla en la adecuación de entornos seguros.
La seguridad de difusión consiste en la protección contra la emisión de señales del hardware. El ejemplo más común es el de las pantallas de ordenador visibles a través de las ventanas de una oficina, o las emisiones electromagnéticas de algunos elementos del hardware que adecuadamente capturadas y tratadas pueden convertirse en información. De nuevo, la solución hay que buscarla en la adecuación de entornos seguros.
2.5.3.- Plantillas de seguridad para proteger los equipos
Con el complemento Plantillas de seguridad para Microsoft Management
Console puede crear una directiva de seguridad para un equipo o para la
red. Es un lugar donde se concentra toda la seguridad del sistema. El
complemento Plantillas de seguridad no introduce ningún parámetro de
seguridad nuevo, simplemente organiza todos los atributos de seguridad
existentes en una ubicación para facilitar la administración de la
seguridad. Importar una plantilla de seguridad a un objeto de Directiva de grupo facilita la administración de dominios ya que la seguridad se configura para un dominio o una unidad organizativa de una sola vez. Para obtener más información, vea Importar una plantilla de seguridad a un objeto de directiva de grupo.
Con el fin de aplicar una plantilla de seguridad al equipo local, puede utilizar Configuración y análisis de seguridad o la herramienta de línea de comandos Secedit. Para obtener más información, vea Configurar la seguridad del equipo local.
Las plantillas de seguridad se pueden utilizar para definir:
Directivas de cuentas
Directiva de contraseñas
Directiva de bloqueo de cuentas
Directiva Kerberos
Directivas locales
Directiva de auditoría
Asignación de derechos de usuario
Opciones de seguridad
Registro de sucesos: Configuración del registro de sucesos de aplicación, sistema y seguridad
Grupos restringidos: Pertenencia a grupos importantes para la seguridad
Configuración de seguridad de Servicios del sistema Inicio y permisos de los servicios del sistema
Configuración de seguridad del Registro: Permisos para las claves del Registro del sistema
Configuración de seguridad del Sistema de archivos Permisos de archivos y carpetas
Cada plantilla se guarda como un archivo .inf de texto. De esta forma, puede copiar, pegar, importar o exportar todos o algunos de los atributos de la plantilla. Con la excepción de la Seguridad de protocolo IP y las directivas de clave pública, todos los atributos de seguridad pueden estar contenidos en una plantilla de seguridad.
Plantillas nuevas y predefinidas
En cada miembro de la familia Microsoft® Windows Server 2003 o en el sistema operativo Microsoft® Windows® XP hay una serie de plantillas predefinidas creadas con niveles de seguridad diferentes para adaptarse a las necesidades de una organización.
Hay varias plantillas de seguridad predefinidas que pueden ayudarle a proteger su sistema en función de sus necesidades, dichas plantillas son para:
Volver a aplicar la configuración predeterminada
Implementar un entorno altamente protegido
Implementar un entorno menos protegido pero más compatible
Proteger la raíz del sistema.
Para obtener más información, vea Plantillas de seguridad predefinidas.
La plantilla Setup security.inf permite volver a aplicar la configuración de seguridad predeterminada. Esta plantilla se crea durante la instalación de cada equipo y se debe aplicar localmente.
Puede crear una plantilla de seguridad nueva con sus propias preferencias o bien utilizar una de las plantillas de seguridad predefinidas. Antes de realizar cambios en la configuración de la seguridad, debe saber cuál es la configuración predeterminada del sistema y qué significa.
No hay comentarios:
Publicar un comentario