Capacidad de OI: Administración de acceso e identidad: del nivel estandarizado al racionalizado
En esta página
.gif){kind=icon}
Introducción
Requisito: Configuración y seguridad centralizada basada en directorios
Introducción
La administración de identidades y acceso es una capacidad de la optimización de infraestructura principal y la base para implementar muchas capacidades en el modelo de optimización de infraestructura.
En la tabla siguiente se describen los desafíos de alto nivel, las soluciones aplicables y las prestaciones de cambiar al nivel racionalizado en la administración de acceso e identidad.
Retos |
Soluciones |
Ventajas |
|---|---|---|
Desafíos para la empresa Dificultad a la hora de aplicar directivas de TI requeridas por la organización o la normativa Incapacidad de habilitar un estado conocido, estable y seguro para los equipos cliente Retos de TI No hay ningún control de directivas centralizado para la administración de acceso e identidad (la implementación de grandes cambios de directiva requiere la modificación de cada identidad) Las identidades se administran de manera central, aunque resulta difícil administrar la configuración de usuarios y recursos |
Proyectos Identificar y definir estándares de configuración que requieran de aplicación Implementar una solución de directivas centralizada basada en directorios para la administración de escritorios, servidores, configuración y seguridad |
Ventajas empresariales Estado conocido e impuesto del entorno Experiencia de usuario uniforme en todos los equipos basada en la función del negocio Modificación más sencilla del sistema y funcionalidad de adición Reducción de operaciones y de costos de soporte de escritorios Reducción del tiempo de inactividad de usuario y de interrupciones Beneficios de TI Reducción de la carga de trabajo gracias a la introducción de una administración y una directiva de grupo basadas en funciones Seguridad mejorada gracias a la implementación de la administración de revisiones y el bloqueo de seguridad basados en directivas La administración de perfiles permite la recuperación del sistema de usuario y de datos |
La administración continua de identidades y acceso se centra en las siguientes capacidades, tal como se describe en la serie de administración de identidades y acceso de Microsoft:
Base de la administración de identidades y acceso
Administración del ciclo de vida de la identidad
Administración de acceso e inicio de sesión único
Tenga en cuenta que las capacidades descritas más arriba son componentes clave del servicio de administración de identidades y acceso en una organización. Para obtener más información, consulte Serie de administración de identidades y acceso de Microsoft.
El nivel racionalizado de la administración de acceso e identidad del modelo de optimización de infraestructura trata la necesidad de control centralizado que presentan las configuraciones y la seguridad.
Requisito: Configuración y seguridad centralizada basada en directorios
Destinatarios
Debe leer esta sección si no cuenta con ninguna herramienta basada en directorios para administrar de manera central las configuraciones y la seguridad en un 80% o más de sus equipos de escritorio.
Introducción
Los administradores se enfrentan a desafíos cada vez más complejos a la hora de administrar las infraestructuras de TI. Hay que proporcionar y mantener configuraciones de escritorio personalizadas para muchos tipos de trabajadores, que incluyen usuarios móviles, trabajadores de la información u otros asignados a tareas definidas estrictamente, como la entrada de datos. Es posible que los cambios en las imágenes de sistema operativo estándar sean necesarios de forma continua. La configuración y las actualizaciones de seguridad se deben suministrar de manera eficaz a todos los equipos y dispositivos. Los nuevos usuarios deben resultar productivos pronto sin necesidad de costosos entrenamientos. En caso de que se produzca un error o un desastre informático, se debe restaurar el servicio con un mínimo de interrupción y pérdida de datos.
Fase 1: Evaluación
El objetivo principal de la fase de evaluación es examinar qué herramientas y procedimientos se usan actualmente para mantener la seguridad y las configuraciones de usuario estándar. Es posible que las directivas actuales se administren de forma manual, o bien de manera automatizada mediante la administración de revisiones, la instalación de software necesario o la inclusión de las configuraciones necesarias en las imágenes de disco estándar. Mediante éstas y otras actividades del nivel estandarizado, la organización mantiene una base estándar; la implementación del control de configuración ayudará a pasar al nivel racionalizado de optimización de infraestructura.
Fase 2: Identificación
Durante la fase de identificación, se examinan los estándares de configuración actuales que ejecutan los procedimientos de directivas de administración de configuración, revisiones y creación de imágenes de disco y, a continuación, se analizan en profundidad las prácticas actuales para identificar el número total de controles de seguridad y configuración que precisan de su cumplimiento. Estas configuraciones pueden ser:
Componentes necesarios en equipos, como revisiones, service packs o aplicaciones.
Servicios o aplicaciones que deben ejecutarse en equipos, como firewall de escritorio o aplicaciones antivirus.
Reglas de acceso y transferencia de datos, como, por ejemplo, no permitir la transferencia de archivos en aplicaciones de mensajería instantánea.
El ejercicio de definir la configuración y los parámetros como candidatos para el control de directivas es el paso inicial para la administración de la configuración. La administración de la configuración también se ha tratado brevemente en la Guía de recursos de implementador para la optimización de la infraestructura principal: del nivel básico al estandarizado. Obtenga más información acerca de la administración de configuración en Microsoft Operations Framework.
Fase 3: Evaluación y planeación
El objetivo durante la fase de evaluación y planeación es determinar el nivel de control de la configuración identificada y los valores de seguridad. El nivel de control variará de poder simplemente supervisar la configuración que no cumple los requisitos, hasta automatizar de manera activa su cumplimiento.
Las herramientas de supervisión de configuración están disponibles para ofrecer informes de la configuración que no cumple los requisitos. En muchos casos, es posible que la organización desee notificar la falta de cumplimiento y que, posteriormente, determina las acciones adecuadas para que el equipo recupere el cumplimiento. Por ejemplo, si desea que una aplicación esté instalada en todos los equipos, pero ésta necesita controladores que no existen para determinados tipos de hardware en el entorno de escritorio, la mejor opción puede ser supervisar los casos que no cumplen los requisitos y determinar el mejor modo de resolución de forma individual. En el nivel racionalizado de la optimización de infraestructura principal, se requiere la implementación de una infraestructura de administración de configuración basada en directorios mediante la directiva de grupo y las recomendaciones (aunque no se requiere ninguna herramienta de supervisión de configuración independiente).
Herramientas de supervisión de configuración
Microsoft ofrece dos tipos de herramientas para supervisar el cumplimiento de la configuración. El primer tipo, denominado Herramienta de análisis de procedimientos recomendados o BPA (Best Practice Analyzer), contiene configuraciones e informes de procedimientos recomendados predefinidos de Microsoft. Hay herramientas BPA disponibles como descargas gratuitas para los productos de servidor de Microsoft: Microsoft Exchange Server, Microsoft Internet Security and Acceleration Server y Microsoft SQL Server. El segundo tipo de herramienta de supervisión de configuración permite a la organización definir las reglas o los valores de configuración deseados, específicos para la organización y la supervisión del cumplimiento. La herramienta de supervisión de la configuración deseada de Systems Management Server 2003 también es una descarga gratuita y permite definir estándares de configuración personalizada para los equipos de escritorio y los servidores. Esta herramienta se usa para realizar auditorías de cumplimiento y los informes que incluye notifican de casos específicos en los que no se cumplan los requisitos. Además de estas herramientas, hay una serie de aplicaciones de software disponibles de los asociados de Microsoft para definir y administrar la configuración estándar.
Directivas de grupo en Windows Server
La siguiente fase de control es la aplicación de la configuración automatizada. Una gran parte de la configuración y los valores de seguridad necesarios se puede definir con directivas estándar. La directiva de grupo permite automatizar el proceso para que muchos casos que no cumplen los requisitos los cumplan.
La directiva de grupo es una infraestructura usada para ofrecer y aplicar una o más configuraciones deseadas o configuraciones de directiva a un conjunto de usuarios y equipos específicos dentro del entorno de Active Directory. Esta infraestructura se compone de un motor de directiva de grupo y varias extensiones de cliente para escribir valores de directiva específicos en equipos cliente de destino.
Directivas de grupo y Active Directory
Los administradores usan la directiva de grupo para definir configuraciones específicas para grupos de usuarios y equipos mediante la creación de valores de directiva de grupo. Dichos valores se especifican mediante la herramienta Editor de objetos de directiva de grupo y se incluyen en un objeto de directiva de grupo (GPO, Group Policy Object), que a su vez está vinculado a los contenedores de Active Directory. La configuración de directiva de grupo se aplica a los usuarios y los equipos de los contenedores de Active Directory. Los administradores pueden configurar el entorno de trabajo del usuario una vez y basarse en el sistema para aplicar las directivas tal y como se definan.
Active Directory organiza los objetos por sitios, dominios y unidades organizativas (OU, Organizational Unit). Los dominios y las OU se organizan jerárquicamente, lo que facilita la administración de los contenedores y los objetos incluidos en ellos. Estos valores definidos en un GPO sólo se pueden aplicar cuando el GPO está vinculado a uno o más de dichos contenedores.
Mediante la vinculación de GPO a sitios, dominios y OU, puede implementar la configuración de directivas de grupo a la parte de la organización y con la extensión que desee. Los vínculos de GPO afectan a los usuarios y a los equipos de las siguientes formas:
Un GPO vinculado a un sitio se aplica a todos los usuarios y los equipos del sitio.
Un GPO vinculado a un dominio se aplica directamente a todos los usuarios y los equipos del dominio y, por herencia, a todos los usuarios y los equipos de OU secundarias. Tenga en cuenta que la directiva no se hereda entre dominios.
Un GPO vinculado a una OU se aplica directamente a todos los usuarios y los equipos de la OU y, por herencia, a todos los usuarios y los equipos de OU secundarias.
En la siguiente figura, se muestra cómo los GPO se aplican a sitios, a dominios y a las OU situadas por debajo.
.gif)
Figura 3. Aplicación de GPO
Capacidades de directiva de grupo
A través de la directiva de grupo, los administradores definen las directivas que determinan el modo en que se configuran las aplicaciones y los sistemas operativos, y mantienen protegidos a los usuarios y los sistemas. En las siguientes secciones se describen las características clave de la directiva de grupo.
Directiva basada en registro
La forma más común y sencilla de proporcionar una directiva a una aplicación o componente de sistema operativo consiste en implementar la directiva basada en registro. Con la directiva de grupo, puede definir valores de directiva basada en registro para aplicaciones, el sistema operativo y sus componentes.
Configuración de seguridad
La directiva de grupo ofrece opciones a los administradores para establecer opciones de seguridad para equipos y usuarios dentro del ámbito de un GPO. Se pueden especificar configuraciones de seguridad de equipo, dominio y red. Para obtener más información acerca de la seguridad y la configuración de directiva de grupo, consulte Guía de seguridad de Windows Server 2003, Guía de seguridad de Windows XP, Guía de seguridad de Windows Vista y Guía sobre amenazas y contramedidas.
Restricciones de software
Para defenderse contra virus, aplicaciones no deseadas y ataques en equipos que ejecutan Windows XP, Windows Vista y Windows Server 2003, la directiva de grupo incluye directivas de restricción de software.
Distribución e instalación de software
La directiva de grupo puede administrar la instalación, las actualizaciones y la eliminación de aplicaciones de forma centralizada.
Scripts de equipo y usuario
Los administradores pueden usar scripts para automatizar tareas en el inicio y el cierre del equipo, y cuando el usuario inicia y cierra la sesión.
Perfiles de usuarios móviles y carpetas redirigidas
Los perfiles de usuarios móviles ofrecen la capacidad de almacenar perfiles de usuarios de manera central en un servidor y cargarlos cuando un usuario inicia sesión. Como resultado, los usuarios obtienen un entorno uniforme, con independencia de los equipos que usen.
Carpetas sin conexión
Cuando una red no está disponible, la función de carpetas sin conexión ofrece acceso a archivos y carpetas de red de un disco local.
Mantenimiento de Internet Explorer
Los administradores pueden administrar y personalizar la configuración de Microsoft Internet Explorer® en equipos que admiten la directiva de grupo.
Fase 4: Implementación
La fase de implementación se centra principalmente en definir objetos de directiva de grupo con el editor de objetos. Los GPO deben reflejar los elementos identificados durante la fase de evaluación e identificación. Se han agregado operaciones a esta capacidad, que se centra en la Consola de administración de directivas de grupo y en las operaciones en curso.
Antes de implementar la directiva de grupo en la organización, le recomendamos que se familiarice con los conceptos clave de directiva de grupo, cómo usar el Editor de objetos de directiva de grupo y cómo configurar los valores de directiva de grupo. Consulte Introducción a la directiva de grupo para obtener información detallada sobre las siguientes actividades de directiva de grupo:
Operaciones
Las operaciones de directiva de grupo se caracterizan por todas las tareas que se ejecutan a través de la interfaz de usuario de la Consola de administración de directivas de grupo (GPMC). La siguiente lista contiene vínculos a información acerca del uso de la Consola de administración de directivas de grupo:
Agregar un bosque, un sitio o un dominio a la Consola de administración de directivas de grupo
Ver, imprimir y guardar un informe de configuración de objetos de directiva de grupo
Determinar el conjunto de directiva resultante con resultados de directiva de grupo
Simular el conjunto de directiva resultante con modelos de directiva de grupo
Establecer opciones de interfaz de usuario de Consola de administración de directivas de grupo
Más información
Para obtener más información acerca de la directiva de grupo, visite Microsoft TechNet y busque “directiva de grupo”.
Para descubrir la administración de directiva de grupo de Microsoft, vaya a https://www.microsoft.com/technet/itshowcase/content/grppolobjectmgmt.mspx.
Punto de control: Configuración y seguridad centralizada basada en directorios
|
Requisitos |
|---|---|
|
Identificación de las configuraciones que se deben supervisar o aplicar. |
|
Selección de herramientas para supervisar y aplicar el cumplimiento de la configuración. |
|
Definición de objetos de directiva de grupo para la configuración administrada a través de la directiva de grupo. |
|
Implementación de la Consola de administración de directivas de grupo para administrar objetos de directiva de grupo. |
|
Aplicación de directiva de grupo en, al menos, un 80% de los escritorios. |
.gif)
Si se han completado los pasos anteriores, la organización ha cumplido el requisito mínimo del nivel racionalizado para una configuración y seguridad centralizada basada en directorios del modelo de optimización de infraestructura. Le recomendamos que siga la orientación de los recursos de procedimientos recomendados adicionales para la administración de la configuración y la seguridad.
Ir a la siguiente pregunta de autoevaluación.