Archivos del escritorioInformática compartida con Windows SteadyState

Wes Miller

Con toda seguridad, si ha estado cerca de un laboratorio informático durante los últimos diez años, seguro que conoce este problema.Fue algo que observé cuando estaba en la universidad.En aquellos momentos, los laboratorios estaban abiertos durante todo el día (si se contaba con identificación de estudiante) y se quedaban vacíos cuando los estudiantes acudían a la biblioteca.Los estudiantes aficionados al juego de aquella era

podrían entrar y realizar modificaciones a los archivos principales de Windows® y MS-DOS® para ejecutar sus juegos.El resultado final era un equipo que podía ejecutar juegos, pero que no podía ejecutar adecuadamente Windows, si es que llegaba a ejecutarlo.Todos nosotros lo hemos experimentado en algún momento, el equipo de uso compartido ha quedado destartalado hasta tal punto que es una pérdida de tiempo intentar usarlo.

Recientemente, fui de vacaciones a la Isla del Padre en Texas.El hotel donde me alojé tenía tres equipos en una "sala de equipos para invitados" que ejecutaban Windows XP.Cualquiera que ejecutara estos sistemas de Windows podía hacerlo como administrador y no había directivas aplicadas a los sistemas. Así, los visitantes abusaban de estos pobres equipos: instalaban software inapropiado y eliminaban o cambiaban aplicaciones principales. Seguramente, no se trataba de la situación esperada por el hotel.Tanto en un laboratorio como en un hotel, la verdad es que los equipos de uso compartido en entornos públicos son víctimas de malos tratos, en mayor medida que los equipos domésticos.

Soluciones al problema

Cómo obtener y usar SteadyState

Windows SteadyState está disponible como descarga gratuita en go.microsoft.com/fwlink/?LinkId=104721.Hay más información disponible acerca de SteadyState en microsoft.com/windows/products/winfamily/sharedaccess.

Windows SteadyState se ejecutará en cualquier sistema que pueda ejecutar Windows XP.La mejora más considerable sobre SCT es que SteadyState no requiere una segunda partición para funcionar, al contrario que SCT para Protección de disco de Windows.

La tabla siguiente ofrece una introducción de los requisitos de sistema para SteadyState.Tenga en cuenta que SteadyState necesita un sistema de archivos con formato NTFS, aunque cualquier versión de Windows XP es compatible.SteadyState no funciona actualmente con Windows Vista®.

Componente Requisito
Procesador 300 MHz o superior (233 MHz mínimo).
Memoria 128 MB de RAM o superior (64 MB mínimo; puede limitar el rendimiento y otras características).
Disco duro Mínimo de 1,5 GB de espacio en disco duro disponible sin Protección de disco de Windows o un mínimo de 4,0 GB de espacio en disco duro disponible con Protección de disco de Windows.
Sistema operativo Windows XP Home Edition, Windows XP Professional o Windows XP Tablet PC Edition.Debe instalarse Windows XP SP2.
Idiomas localizados compatibles Inglés, holandés, francés, italiano, japonés, portugués brasileño, chino simplificado y español.
Sistema de archivos Sistema de archivos con formato NTFS.
Acceso Acceso de nivel de administrador.

Si ha leído mi columna durante el último año o si está familiarizado con la implementación de Windows en general, quizás esté pensando, "no es tan difícil, simplemente debo volver a realizar la imagen de los sistemas".Pero aquellos que estén plenamente familiarizados con el tema saben que no es siempre tan fácil.La solución de realizar imágenes cada día o cada semana no facilita realmente las cosas.

Hace años, un amigo y yo consideramos la apertura de un cibercafé.Esto fue en el año 1995, cuando era una idea única.Mi preocupación más importante era garantizar la confiabilidad y la disponibilidad de los sistemas.Desafortunadamente, las opciones en aquel momento consistían principalmente en realizar imágenes o incluso soluciones de mayor envergadura; no existía nada como plug-and-play para resolver el problema.

Si desglosamos el asunto, al proteger equipos de uso compartido, siempre necesitará hacer tres cosas:

  • Garantizar que los usuarios usen los equipos sólo como no administradores.Esto debe ser siempre así en equipos compartidos.
  • Implementar directivas para que los sistemas sean tan seguros como sea posible.De este modo, habrá un número potencial de usuarios capaz de manipular áreas del sistema a las que no deberían tener acceso.
  • Ser capaz de revertir cualquier cambio aleatorio realizado por los usuarios.Incluso si los usuarios usan los equipos como no administradores, pueden hacer todavía cambios no deseados en los menús, favoritos, etc.

Afortunadamente, Microsoft ha estado trabajando durante varios años en un conjunto de herramientas diseñado específicamente para ayudar en este escenario.

Historia de SteadyState

Hace poco más de un año, Microsoft lanzó al mercado Windows Shared Computing Toolkit (SCT).Disponible como descarga gratuita para los sistemas con el Programa de Ventajas de Windows Original, el kit de herramientas se diseñó específicamente para bibliotecas, cibercafés, laboratorios y otros entornos informáticos de uso compartido.Puede haber visto anteriormente información de SCT en el número de julio de 2006 de TechNet Magazine (technetmagazine.com/issues/2006/07/UtilitySpotlight).

Una nueva versión, ahora denominada Windows SteadyStateTM (microsoft.com/windows/products/winfamily/sharedaccess) se lanzó en junio de 2007. La nueva versión ha cambiado su nombre en parte debido a que el conjunto de herramientas cambiaba significativamente de una versión a otra.Realiza todavía las mismas tareas que trataré en un momento pero, en la última versión, el equipo se centró en la facilidad de uso general.Como resultado, SteadyState se ha integrado adecuadamente en una nueva consola, y es más fácil de instalar y administrar.Es más eficaz y flexible, y es compatible con la integración de Active Directory® para uno de sus componentes clave, lo cual implica mayor flexibilidad en varios escenarios de empresa completamente nuevos.También ahora es compatible con la integración de Windows Update, de manera que SteadyState tiene la inteligencia para saber cuándo desactivar Protección de disco de Windows para aplicar actualizaciones por sí mismo.Esto reduce los gastos de administración que tiene que dedicar a sus sistemas administrados de SteadyState.

Características de SteadyState

Windows SteadyState consta de cuatro componentes clave:Las restricciones de equipo bloquean las opciones de configuración y de seguridad por equipo; Protección de disco de Windows copia en caché (y revierte) los cambios a la partición de sistema de Windows; el administrador de cuentas de usuario crea, edita, importa o exporta usuarios y, finalmente, las restricciones y la configuración del usuario bloquean las opciones de seguridad y de configuración por usuario.

Una mejora inmediata que advertirá en el kit de herramientas es la ayuda de usuario.Una guía de inicio ayuda a poner en funcionamiento SteadyState.A continuación, SteadyState ofrece cuatro tareas clave para adentrarse en (reflejando las características clave que resumí más arriba):

  • Configurar restricciones de equipo (Restricciones de equipo).
  • Programar actualizaciones de software.Permite especificar si SteadyState aplica automáticamente Windows Updates.Esto se recomienda, puesto que se encarga de la administración con Protección de disco de Windows, y también actualiza las firmas de varios programas antivirus conocidos.
  • Proteger el disco duro (Protección de disco de Windows).
  • Agregar usuarios (administrador de cuentas de usuario).

Bajo Agregar usuario, encontrará las restricciones y configuración de usuario, que le ofrece una opción de configuración por usuario.

Restricciones de equipo, y restricciones y configuración de usuario

Si está familiarizado con la directiva de grupo de Windows, ya conoce los aspectos Establecer restricciones en el equipo y Establecer restricciones y configuración de usuario de SteadyState.Mejor que obligar a los administradores de SteadyState a usar el Editor de objetos de directiva de grupo (GPEdit.msc), que no es una característica disponible en Windows XP Home Edition (aunque SteadyState es compatible con el mismo), SteadyState hace surgir varias opciones clave de seguridad y configuración que son comunes en el escenario de equipos compartidos.

La Figura 1 muestra la pantalla de configuración Establecer restricciones en el equipo.Tenga en cuenta que todas estas configuraciones genéricas se aplicarán al equipo entero.Estas configuraciones se seleccionan principalmente para minimizar los riesgos de seguridad al sistema y, en el caso de acceso mediante unidad USB, la capacidad de eliminar cosas del sistema.Al observar la configuración por usuario, verá una manera de bloquear el acceso de lectura a algunas o a todas las unidades también.

Figura 1 Restricciones de equipo en SteadyState

Figura 1** Restricciones de equipo en SteadyState **(Hacer clic en la imagen para ampliarla)

Es importante tener en cuenta que la configuración de USB está sólo activa si se ejecuta bajo la instalación real de Windows donde está configurado SteadyState.Con el objeto de proteger contra ataques sin conexión, debe configurar adecuadamente el BIOS para bloquear el arranque desde dispositivos USB o CD y proteger con contraseña el mismo BIOS.

Por supuesto, esto no es infalible.Recuerde la tercera ley de "Las 10 leyes inmutables de la seguridad" (microsoft.com/technet/archive/community/columns/security/essays/10imlaws.mspx):"Si un tipo malo tiene acceso físico sin restricción a su equipo, ya no es su equipo".Una persona dedicada con suficiente tiempo y las herramientas apropiadas a menudo puede eludir una contraseña de BIOS.

Protección de disco de Windows

Si alguna vez ha usado Windows XP Embedded desde un CD o Windows PE 2.0, lo que voy a describir le podrá sonar muy familiar y por una buena razón, tienen una historia compartida.Protección de disco de Windows funciona para ofrecer una completa función "deshacer" de la partición de sistema de Windows guardando todos los cambios realizados a la partición del sistema en una caché en la misma partición.Este aspecto de SteadyState es crítico, puesto que es el componente que permite deshacer los cambios realizados por los usuarios del sistema en el transcurso del tiempo.

Protección de disco de Windows es útil principalmente si desea garantizar la posibilidad de revertir rápidamente (o después de un reinicio imprevisto o en un intervalo programado) al estado implementado inicial del sistema.Tiene cuatro modos que puede configurar en el cuadro de diálogo mostrado en la Figura 2:

Figura 2 Configuración de Protección de disco de Windows

Figura 2** Configuración de Protección de disco de Windows **(Hacer clic en la imagen para ampliarla)

Desactivado Protección de disco de Windows está deshabilitada completamente y todos los cambios se escriben en el disco normalmente.

Activado, descartar cambios en reinicio Protección de disco de Windows está habilitada y, cada vez que reinicia el equipo, todos los cambios quedan descartados.En esencia, esto significa que el sistema revertirá exactamente al punto donde estaba cuando comprobó y guardó esta opción.

Activado, descartar cambios a la hora establecida Casi idéntica a las opciones anteriores, excepto que los cambios se descartan a una hora establecida, no en el reinicio siguiente.Esto sería una elección lógica si deseara descartar los cambios diaria o semanalmente.

Activado, retener los cambios permanentemente Se confunde conceptualmente con Desactivado, pero la diferencia aquí está en que este es un modo temporal.Por ejemplo, podría usar este modo si desea aplicar actualizaciones de aplicaciones, instalar aplicaciones nuevas o configurar el sistema.Este no es un modo que deba ejecutar generalmente a largo plazo.

Tenga en cuenta que Protección de disco de Windows requiere un reinicio para cambiar entre cualquiera de estos modos.

Programar actualizaciones de software

La opción Programar actualizaciones de software es útil, ya que SteadyState ahora tiene la capacidad de desactivar o activar Protección de disco de Windows automáticamente.Si permite a SteadyState administrar sus actualizaciones, configurará Protección de disco de Windows para mantener los cambios durante la actualización y, después, devolverá Protección de disco de Windows a la configuración establecida anteriormente.Recomiendo definitivamente esta configuración, ya que elimina una tarea en su lista de tareas de administración.

El siguiente software de seguridad es compatible mediante la característica de actualización en Actualizaciones de software:Computer Associates eTrust 7.0, McAfee VirusScan, Windows Defender y TrendMicro 7.0.

Administrador de cuentas de usuario

La opción Agregar usuario permite configurar nuevos usuarios para el sistema.La Figura 3 muestra las opciones disponibles para su nuevo usuario:nombre, contraseña, imagen para representar al usuario y ubicación del perfil de usuario.Una vez que ha creado usuarios, puede establecer las restricciones y la configuración de usuario para cada una de estas cuentas locales.Lo bueno es que una vez que ha agregado y configurado una cuenta en su sistema, puede exportarla y, a continuación, importarla a otro sistema según necesite (o archivarla).

Figura 3 Cómo agregar cuentas de usuario

Figura 3** Cómo agregar cuentas de usuario **(Hacer clic en la imagen para ampliarla)

Un aspecto muy útil del administrador de cuentas de usuario es que los perfiles de usuario pueden crearse en una partición secundaria mediante el menú Ubicación de usuario mostrado en la Figura 3.Generalmente, los perfiles se deben crear en la partición de Windows a menos que especificara manualmente una ubicación diferente a Documents and Settings durante la instalación mediante un archivo unattend.txt.Este enfoque es especialmente útil con SteadyState, ya que descarta los cambios realizados a la partición del sistema de Windows cuando Protección de disco de Windows está habilitada.Si desea que un perfil de usuario sea coherente en las purgas de caché de Protección de disco de Windows, puede especificar simplemente el perfil de usuario para que se almacene en otra partición local al crear el usuario mediante el administrador de cuentas de usuario.

Este proceso funciona reiniciando para borrar la memoria caché de Protección de disco de Windows, aplicando las actualizaciones y reiniciando otra vez para volver a iniciar Protección de disco de Windows.Además de Windows Update, SteadyState actualizará los archivos de firmas para varias aplicaciones antivirus conocidas que son compatibles (consulte la barra lateral "Cómo obtener y usar SteadyState").Si su aplicación no es compatible o si necesita ejecutar otro actualizador, puede realizar la actualización de manera manual; simplemente, asegúrese de que Protección de disco de Windows esté deshabilitada cuando lo haga o se perderá la firma digital.

Restricciones y configuración de usuario

Una vez que ha seleccionado un usuario, SteadyState divide las restricciones de usuario en cuatro categorías.Estas se derivan de la configuración de directiva de grupo y posiblemente le resultarán familiares.

La configuración general controla los perfiles de usuario y las configuraciones de cierre de sesión forzado.Esto incluye la configuración para bloquear el perfil y establecer los intervalos de tiempo de espera para cerrar la sesión tras una duración de uso o tiempo de espera establecidos.

La configuración Restricciones de Windows, mostrada en la Figura 4, controla elementos de configuración específicos de Windows.Los ejemplos incluyen la eliminación del acceso a elementos de interfaz de usuario de Windows, tales como los componentes del menú Inicio y de la funcionalidad de Windows Explorer.La capacidad para bloquear el acceso a unidades de disco específicas según la letra de unidad está también disponible, así como la capacidad de deshabilitar la grabación de CD.

Figura 4 Restricciones de usuario específicas de Windows

Figura 4** Restricciones de usuario específicas de Windows **(Hacer clic en la imagen para ampliarla)

La ficha Restricciones de características, mostrada en la Figura 5, controla el acceso granular a la mayoría de las funciones de Internet Explorer®, permite configurar la página principal de Internet Explorer y controlar las funciones de Microsoft® Office hasta cierto punto, en gran parte para controlar la capacidad de ejecución de scripts de Visual Basic® para aplicaciones (VBA).

Figura 5 Restricciones de características

Figura 5** Restricciones de características **(Hacer clic en la imagen para ampliarla)

La opción Bloquear programas (consulte la Figura 6) controla la capacidad de ejecutar aplicaciones específicas; básicamente, crea una lista negra.Esta se rellena con varias aplicaciones comunes, aunque puede agregar otras.Tenga en cuenta que estos elementos se bloquean según una definición de su ruta de acceso.Si a un usuario se le permite mover una aplicación a otra parte en el sistema, la regla de ruta de acceso no seguirá aplicándose.No obstante, las restricciones de acceso al sistema y unas ACL de archivos y directorios correctamente aplicadas complicarán la realización de esta tarea.

Figura 6 Bloqueo de la ejecución de programas

Figura 6** Bloqueo de la ejecución de programas **(Hacer clic en la imagen para ampliarla)

Otra capacidad nueva importante de SteadyState está basada en las plantillas preconfiguradas que especifican los niveles de restricción relacionados con las restricciones de Windows y las restricciones de características.Las plantillas facilitan el funcionamiento de una configuración de línea de base dependiendo del nivel deseado de bloqueo de características o funciones.Por supuesto, cuenta con la capacidad de crear plantillas personalizadas.

Limitaciones de SteadyState

SteadyState hace un gran trabajo al ayudar a una organización a estabilizar sus sistemas informáticos compartidos.Para una herramienta comercial, estaría muy bien.Para ser una herramienta gratuita, es admirable.Pero, recuerde, no lo hace todo.

Los sistemas informáticos compartidos son objetivos fáciles para ataques y también para abusos no intencionados.Debe asegurar que estos sistemas estén aislados de la información a la que no necesitan tener acceso.Aunque SteadyState tiene también la capacidad de bloquear el acceso a las aplicaciones, estas exigencias se administran mediante directivas de restricción de software.Y, como Mark Russinovich recalcó hace unos años, hay técnicas mediante las cuales un usuario astuto puede elaborar una aplicación con aspecto benigno, pero incluso como usuario limitado podrá omitir estas directivas (blogs.technet.com/markrussinovich/archive/2005/12/12/circumventing-group-policy-as-a-limited-user.aspx).A menos que bloquee todos los accesos de dispositivos y el acceso a Internet, esto es una vulnerabilidad que necesitará tener en cuenta.Recuerde siempre la Ley nº 3...

Obviamente, SteadyState es sólo un componente de un sistema informático compartido bien configurado.La aplicación regular de actualizaciones mediante Windows Update y la configuración apropiada del Firewall de Windows (u otro firewall) son igualmente importantes.También, asegúrese de instalar y configurar antivirus, antispyware y otras contramedidas de seguridad necesarias analizando los posibles riesgos del equipo.Igualmente, controle el acceso al equipo; si no puede controlar eso, controle lo que el equipo puede consultar.Y no almacene datos confidenciales de forma local.

Finalmente, al habilitar su plataforma, asegúrese de que sus pruebas incluyan el uso de SteadyState (con Protección de disco de Windows habilitada, a menos que no desee su uso) y todo el software adicional que planee ejecutar en el sistema.Deseará asegurarse de que el software y SteadyState funcionen juntos de manera óptima.

Compatibilidad con SteadyState

Los comentarios de los usuarios para SteadyState que he consultado son muy positivos.Hay una serie de problemas menores que he oído hasta ahora, algunos en relación con el orden en el que hay que agregar los usuarios.Muchos de estos problemas (junto con otras sugerencias y trucos) están cubiertos en la comunidad de Windows SteadyState (con vínculos prácticos a varios lugares en la aplicación y la documentación de SteadyState) en forums.microsoft.com/windowstoolsandutilities.

Recomendaría también antes de comenzar que revisara la guía de SteadyState, disponible en go.microsoft.com/fwlink/?LinkId=104722.Ofrece bastantes sugerencias y trucos para usar SteadyState correctamente.

Conclusión

SteadyState ofrece un gran paquete de funciones para cualquier sistema con Windows XP cuyo acceso deba controlar... y es gratuito.La funcionalidad altamente mejorada de Protección de disco de Windows y las mejoras en la interfaz de usuario se traducen en una implementación más fácil y una administración general más cómoda de sus sistemas de acceso compartido.

Tanto si sus necesidades están relacionadas con sistemas de laboratorios de equipos, quioscos de acceso compartido para visitantes o empleados, salas de aprendizaje o cualquier otra necesidad de informática compartida, SteadyState puede ayudarle a mantener los sistemas en funcionamiento y en ejecución de una forma más sencilla.Y no tendrá que hacer más imágenes semanales sólo para reiniciar un sistema.Esta es una mejora inmensa en mi libro.

Wes Milleres director técnico de producto en Initiate Systems (InitiateSystems.com) en Austin, Texas.Anteriormente, trabajó en Winternals Software y como administrador de programas para Microsoft.Puede ponerse en contacto con él en technet@getwired.com.

© 2008 Microsoft Corporation and CMP Media, LLC. Reservados todos los derechos; queda prohibida la reproducción parcial o total sin previa autorización.