Seguridad de escritorio: adopte el enfoque de “defensa a fondo”
El enfoque de “defensa a fondo” representa toda una filosofía de seguridad, que ayuda a proteger el entorno informático de diversos vectores de ataque.
Joshua Hoffman
Una de las pocas constantes de la informática de escritorio es que nunca nada es constante. En la mayoría de los casos, esto es bueno. El paisaje siempre cambiante de nuestro entorno informático es resultado de la innovación y la creatividad. Nos proporciona nuevas maneras de interactuar, colaborar y conectarnos con el mundo a nuestro alrededor.
Sin embargo, a medida que el paisaje de la informática de escritorio cambia, también lo hace el paisaje de la seguridad de escritorio. A medida que cambia la naturaleza de las plataformas y los datos, surgen nuevas amenazas. Los profesionales de TI deben permanecer vigilantes y al tanto de las prácticas y herramientas disponibles para ayudarlos a contrarrestar estas amenazas.
La visión de “defensa a fondo” de la seguridad de escritorio representa una filosofía de seguridad. Éste es un enfoque que ayuda a proteger el entorno informático de tantos potenciales vectores de ataque diferentes como sea posible. Abordaremos maneras de proteger el entorno de escritorio contra software no deseado y malintencionado; nuevas tecnologías para proteger a los usuarios y los datos sobre la marcha, y herramientas para ayudar a los profesionales de TI a administrar un entorno informático diverso.
Software malintencionado
Los criminales expertos tecnológicos son implacables en sus ataques contra equipos de escritorio. Desgraciadamente, esto significa intentos cada vez más creativos para engañar y obligar a usuarios finales a que instalen software malintencionado en sus máquinas. Afortunadamente, existen diversas herramientas disponibles para ayudar a proteger a los usuarios, así como a la infraestructura a la que están conectados.
Control de cuentas de usuario (UAC) es una característica que se introdujo por primera vez en Windows Vista. Este control ayuda a los usuarios y administradores a proteger el acceso a los derechos administrativos dentro del entorno informático de escritorio. Los usuarios pueden operar fácilmente privilegios de usuario estándar, de manera que las funciones administrativas de sus máquinas queden aisladas de software malintencionado que pueda intentar tener acceso a datos o realizar tareas sin conocimiento del usuario.
Windows 7 realizó mejoras significativas en UAC. La experiencia del usuario final se mejoró reduciendo el número de funciones administrativas que requerían elevación. Windows 7 también introdujo la elevación automática para ejecutables de Windows firmados digitalmente, así como nuevos modos operativos para un control más pormenorizado de eventos que exigen elevación explícita. Para obtener descripciones más detalladas acerca de cómo funciona UAC para proteger el entorno informático de escritorio, consulte el artículo de Mark Russinovich de julio de 2009, “Estudio del Control de cuentas de usuario de Windows 7.”
AppLocker es otra nueva característica de Windows 7 que permite a los administradores especificar exactamente los programas que se pueden ejecutar en su entorno. AppLocker está creada a partir de la base introducida por Directivas de restricción de software (SRP) en Windows XP y Windows Vista. Los administradores pueden permitir o denegar que se instalen aplicaciones específicas en sus escritorios.
AppLocker mejora la experiencia más allá de SRP introduciendo reglas basadas en firmas digitales de aplicaciones. Esto permite a los administradores identificar aplicaciones que probablemente deseen prohibir dentro de la organización, sin tener que actualizar reglas cada vez que cambie un atributo de dicho programa (como un timbre de fecha o número de versión). El motor de reglas dentro de AppLocker también permite gran granularidad (consulte la Figura 1). Esto permite que los administradores creen fácilmente reglas, permitiendo excepciones según sea necesario.
.png)
Figura 4 Configuración de AppLocker en Windows 7
Las reglas de AppLocker también se pueden asociar con un usuario o grupo específicos dentro de una organización. Esto ofrece controles específicos que permiten admitir requisitos de cumplimiento y seguridad, mediante la validación y la aplicación de los usuarios que pueden ejecutar aplicaciones específicas.
UAC y AppLocker ofrecen mecanismos sólidos para controlar las aplicaciones que se pueden instalar y usar en cualquier máquina. La adición de Forefront Client Security puede ayudar a dar otro paso, al ofrecer un eficaz motor de antivirus y antispyware, junto con protección de archivos en tiempo real. Si algún elemento malintencionado logra ingresar al entorno informático de escritorio, los filtros actualizados constantemente en Forefront Client Security pueden ayudar no sólo a detectar, sino también a neutralizar la amenaza.
Datos sobre la marcha
Uno de los cambios más significativos que hemos observado durante la última década es que, en la actualidad, muy poca informática tiene lugar efectivamente en un escritorio. Actualmente, equipos portátiles, ultraportátiles y una amplia gama de dispositivos móviles constituyen la mayor parte de la plataforma de informática. Los usuarios son mucho más móviles, al igual que sus datos. Esto ciertamente tiene sus beneficios, pero también acarrea mayores riesgos. Los equipos portátiles y otros dispositivos portátiles son más propensos a la pérdida o robo, poniendo información posiblemente confidencial en manos no autorizadas.
Existen varias opciones para ayudar a protegerlo a usted y a sus usuarios de la pérdida o el robo del datos. Cifrado de unidad Bitlocker (también llamado simplemente BitLocker) ayuda a prevenir el acceso no autorizado a un equipo portátil o ultraportátil. Los archivos almacenados en la unidad cifrada (consulte la Figura 2) están protegidos y son inaccesibles para usuarios no autorizados. Al proporcionar cifrado de datos de volumen completo, comprobaciones de integridad de componentes de arranque temprano y la opción de exigir un PIN o dispositivo flash USB con material clave al momento del arranque, los usuarios y los administradores pueden tener más confianza en la integridad de sus datos, en caso de pérdida o robo de un dispositivo móvil.
.png)
Figura 2 El cifrado de unidad BitLocker bloquea los dados al nivel de la unidad
Los equipos portátiles o ultraportátiles perdidos son sólo parte del problema. La pérdida de dispositivos de almacenamiento portátiles, como unidades flash USB, también es muy común. Las unidades flash USB pueden almacenar grandes cantidades de datos a un costo muy bajo, lo que las hace una opción de almacenamiento muy atractiva. Esto también las hace peligrosas cuando se usan para almacenar información confidencial. BitLocker To Go puede ayudar a combatir esta inquietud, extendiendo la funcionalidad de BitLocker a los dispositivos de almacenamiento extraíbles.
Con esta mayor movilidad de los usuarios, es importante proteger los datos no sólo cuando están almacenados en los dispositivos físicos, sino también mientras viajan a través de redes públicas. DirectAccesses una nueva característica introducida en Windows 7 que aumenta la seguridad al conectarse a redes corporativas durante viajes.
Aprovechando tecnologías basadas en estándares, como protocolo de seguridad de Internet (IPsec) y protocolo de Internet versión 6 (IPv6), DirectAccess permite a los usuarios conectarse sin problemas desde ubicaciones remotas hasta redes corporativas, sin necesidad de una conexión VPN por separado. DirectAccess también usa métodos de cifrado IPsec, como 3DES (Triple Data Encryption Standard) y Estándar de cifrado avanzado (AES) para ayudar a asegurar que los datos se mantengan protegidos durante su transmisión. Obtenga más información acerca de DirectAccess y de maneras de mejorar su uso con Protección de acceso a redes en la columna de The Cable Guy de junio de 2010 de Joseph Davies.
Por último, a medida que más de nuestro trabajo de aplicaciones y línea de negocio se mueve hacia la nube, es aun más fundamental que los exploradores web ofrezcan un entorno para la informática en línea tan seguro como sea posible. El próximo Internet Explorer 9 se creará a partir de una base sólida de características de seguridad de Internet, a la vez que proporcionará algunas gratas mejoras.
Por ejemplo, Internet Explorer 9 incluirá un filtro de scripts de sitios (XSS) que ayudará a detectar este tipo de ataque cada vez más popular. Los ataques de XSS apuntan a comprometer sitios web legítimos con código malintencionado.
Si el filtro de XSS de Internet Explorer 9 descubre cualquier vulnerabilidad, desactiva los scripts dañinos. Internet Explorer 9 también ofrece un filtro SmartScreen mejorado para ayudar a los usuarios a identificar y evitar sitios web malintencionados que puedan incluir ataques de suplantación de identidad (phishing), malware, etc. Obtenga más información acerca de Internet Explorer 9 y descargue una versión beta.
Optimice la administración
Como profesionales de TI, es importante que la implementación, la administración y el mantenimiento de tecnologías y directivas de seguridad se mantengan tan sencillas y eficientes como sea posible. Windows 7 ofrece varias herramientas para ayudarlo a optimizar la administración de su infraestructura de seguridad de escritorio.
Por ejemplo, los cmdlets de Windows PowerShell ahora están disponibles para Directiva de grupo. Mediante el uso de este eficaz shell de línea de comandos y lenguaje de scripting, ahora es posible automatizar y administrar más fácilmente muchas tareas de Directiva de grupo. Es posible crear objetos de Directiva de grupo, definir su asociación con contenedores de Active Directory, realizar configuraciones de directiva basadas en registros y mucho más. Esto ayuda a asegurar que cada escritorio del entorno cumpla con la configuración de seguridad establecida por los administradores.
El control de la manera en que se implementa software dentro de una organización para prevenir la introducción de software potencialmente malintencionado es fundamental. El servicio del instalador de ActiveX ayuda a administrar la implementación de controles ActiveX mediante el uso de Directiva de grupo. Esto asegura que se puedan instalar y administrar estos controles enriquecidos, que mejoran la experiencia web del usuario final, sin comprometer la integridad de los controles de seguridad de escritorio, tales como UAC.
Los ataques malintencionados se seguirán adaptando a las innovaciones en la informática de escritorio. Sin embargo, un enfoque integral y de defensa a fondo de la seguridad ayuda a asegurar que los usuarios, así como los datos empresariales críticos, se mantengan protegidos.
.jpg)
Joshua Hoffman es el ex editor en jefe de TechNet Magazine. Actualmente es un autor y consultor independiente, que asesora a clientes sobre tecnología y marketing orientado a audiencias. Hoffman también trabaja como editor en jefe de ResearchAccess.com, un sitio dedicado al crecimiento y enriquecimiento de la comunidad de investigación de mercado. Vive en Nueva York.