1423.ws 2012 deck_ identity and access
DESCRIPTION
1423TRANSCRIPT
-
Published: 1th December 2012
Windows Server 2012: Technical Overview
Mdulo 5 - Identity and Access
Module Manual Authors: Symon Perriman
Corey Hynes
-
Manual del estudiante de Microsoft Virtual Academy ii
La informacin contenida en este documento, incluidas las URL y otras referencias a sitios web de Internet, est sujeta a cambios sin previo aviso. Salvo que se indique expresamente lo contrario, los ejemplos de empresas, organizaciones, productos, nombres de dominio, direcciones de correo electrnico, logotipos, personas, lugares y eventos aqu representados son ficticios, y no se pretende ni debe deducirse ninguna asociacin con ninguna empresa, organizacin, producto, nombre de dominio, direccin de correo electrnico, logotipo, persona, lugar o evento real. El cumplimiento de todas las leyes de propiedad intelectual aplicables es responsabilidad del usuario. Sin limitar los derechos derivados de la propiedad intelectual, no se puede reproducir, almacenar ni introducir en un sistema de recuperacin de datos ninguna parte del presente documento, ni tampoco transmitirla de ninguna forma o en ningn medio (electrnico, mecnico, fotocopias, grabacin, o cualquier otro) ni para ningn propsito sin contar con el permiso expreso por escrito de Microsoft Corporation. Microsoft puede tener patentes, solicitudes de patente, marcas registradas o derechos de propiedad intelectual de cualquier tipo que cubran el tema tratado en este documento. Salvo que se indique expresamente en algn contrato de licencia por escrito de Microsoft, disponer del presente documento no le transfiere a usted ninguna licencia sobre estas patentes, marcas registradas, derechos de propiedad intelectual o cualquier otro tipo depropiedad intelectual. 2012 Microsoft Corporation. Reservados todos los derechos. Microsoft es una marca registrada o bien una marca de Microsoft Corporation en Estados Unidos y otros pases. Los nombres de empresas y productos reales mencionados en este documento pueden ser marcas comerciales de sus respectivos propietarios.
-
Manual del estudiante de Microsoft Virtual Academy iii
Contents
CONTENTS .................................................................................................................................................................................................................. III
MDULO 5 - IDENTITY AND ACCESS .............................................................................................................................................................. 5
Informacin general sobre acerca de identidad y acceso ................................................................................................................... 5
Gua ........................................................................................................................................................................................................................... 6
Agenda .................................................................................................................................................................................................................... 7
Tendencias y desafos de la industria .......................................................................................................................................................... 8
Windows Server 2012: Optimizacin de TI para la nube ................................................................................................................... 10
Desafos y necesidades de los clientes ..................................................................................................................................................... 12
Cmo llevarlo a la prctica? ........................................................................................................................................................................ 13
Resumen de escenarios .................................................................................................................................................................................. 14
Acceso flexible a los datos con el control de acceso dinmico ...................................................................................................... 15
Control de acceso dinmico .......................................................................................................................................................................... 16
Notificaciones de recursos en Active Directory ..................................................................................................................................... 18
Reglas de acceso basadas en expresiones .............................................................................................................................................. 19
Directivas de acceso central .......................................................................................................................................................................... 20
Flujo de trabajo de la directiva de acceso central ................................................................................................................................ 21
Ejemplos de directivas de acceso central ................................................................................................................................................ 22
Ayuda para denegacin de acceso ............................................................................................................................................................ 23
Auditora de seguridad ................................................................................................................................................................................... 25
Ejemplos de directivas de auditora ........................................................................................................................................................... 26
Proceso de cifrado basado en clasificacin ............................................................................................................................................ 27
Control de acceso dinmico: ventajas ....................................................................................................................................................... 28
Demostracin ...................................................................................................................................................................................................... 29
Active Directory para la nube ....................................................................................................................................................................... 30
Virtualizacin ms segura de controladores de dominio .................................................................................................................. 31
Clonacin de controladores de dominio virtuales ............................................................................................................................... 32
Asistente para implementar controladores de dominio .................................................................................................................... 33
Caractersticas del asistente para la implementacin ......................................................................................................................... 35
Visor del historial de Windows PowerShell ............................................................................................................................................. 36
Activacin basada en Active Directory...................................................................................................................................................... 37
Administracin de cuentas de servicio para grupos de servidores ............................................................................................... 38
Servicios de dominio de Active Directory: ventajas ............................................................................................................................. 39
Demostracin ...................................................................................................................................................................................................... 40
-
Manual del estudiante de Microsoft Virtual Academy
iv
Acceso remoto sin problemas con DirectAccess .................................................................................................................................. 41
Acceso remoto integrado .............................................................................................................................................................................. 42
Novedades de Windows Server 2012 ....................................................................................................................................................... 43
Conectividad entre entornos ........................................................................................................................................................................ 44
Experiencia de administracin mejorada ................................................................................................................................................. 45
Implementacin sencilla ................................................................................................................................................................................. 46
Mejoras en la escalabilidad ........................................................................................................................................................................... 47
Escenarios de implementacin nuevos y mejorados .......................................................................................................................... 48
Demostracin ...................................................................................................................................................................................................... 50
Puesta en marcha .............................................................................................................................................................................................. 51
Caractersticas principales para responder los desafos .................................................................................................................... 52
Obtener la evaluacin, la certificacin y material de aprendizaj .................................................................................................... 53
-
Mdulo 5 - Identity and Access
Manual del estudiante de Microsoft Virtual Academy 5
Mdulo 5 - Identity and Access
Informacin general sobre acerca de identidad y
acceso
Hola. Hoy hablar sobre el modo en que Windows Server 2012 ayuda a los profesionales de TI a controlar la
identidad y el acceso.
-
Mdulo 5 - Identity and Access
Manual del estudiante de Microsoft Virtual Academy 6
Gua
-
Mdulo 5 - Identity and Access
Manual del estudiante de Microsoft Virtual Academy 7
Agenda
-
Mdulo 5 - Identity and Access
Manual del estudiante de Microsoft Virtual Academy 8
Tendencias y desafos de la industria
La nube y la movilidad son dos tendencias importantes que han comenzado a afectar al entorno de TI, en general, y al
centro de datos, en particular. Hay cuatro preguntas clave de TI que quitan el sueo a los clientes:
Cmo me adapto a la nube?
Con una nube privada, obtiene muchos de los beneficios de la informtica en nube pblica, incluidos el autoservicio, la
escalabilidad y la elasticidad, con la personalizacin y el control adicionales que proporcionan los recursos dedicados.
Los clientes de Microsoft pueden crear una nube privada hoy mismo con Windows Server 2008 R2, Microsoft Hyper-V y
Microsoft System Center, pero son muchos los interrogantes en cuanto a cul es el mejor modo de escalar y proteger
las cargas de trabajo en las nubes privadas y la manera ms rentable de crear nubes privadas, ofrecer servicios de
nube y conectarse a ellos de forma ms segura.
Cmo aumento la eficiencia en mi centro de datos?
Independientemente de si va a crear su propia nube privada, tiene una empresa que ofrece servicios de nube o
simplemente desea mejorar las operaciones de su centro de datos tradicional, es fundamental disminuir los costos de
infraestructura y los gastos de funcionamiento al mismo tiempo que aumenta la disponibilidad general de sus sistemas
de produccin. Microsoft comprende que una eficiencia integrada en la plataforma del servidor y una buena
administracin de la infraestructura de la nube y del centro de datos son importantes para lograr un funcionamiento
excelente.
-
Mdulo 5 - Identity and Access
Manual del estudiante de Microsoft Virtual Academy 9
Cmo proporciono aplicaciones de ltima generacin?
A medida que crece el inters en la informtica en nube y en la posibilidad de ofrecer servicios de TI basados en web,
nuestros clientes nos aseguran que necesitan una plataforma web escalable y la capacidad de crear, implementar y
admitir aplicaciones de nube que puedan ejecutarse en los entornos locales o en la nube. Tambin desean contar con
la posibilidad de usar una amplia gama de herramientas y marcos para sus aplicaciones de ltima generacin,
incluidas herramientas de cdigo abierto.
Cmo doy cabida a los estilos de trabajo modernos?
A medida que se desdibujan los lmites entre la vida y el trabajo de las personas, sus personalidades y estilos de trabajo
individuales tienen un impacto cada vez mayor sobre el modo en que llevan a cabo su trabajo y las tecnologas que
prefieren utilizar. Como resultado, los usuarios quieren opinar cada vez ms sobre las tecnologas que utilizan para
completar su trabajo. Esta tendencia se denomina consumerizacin de TI. Como ejemplo de consumerizacin, cada
vez ms personas estn empezando a utilizar sus propios equipos, tabletas tctiles y telfonos en su lugar de trabajo.
La consumerizacin es fabulosa, ya que da rienda suelta a la productividad, la pasin, la innovacin y la ventaja
competitiva de los usuarios. En Microsoft creemos en la eficacia de decir s a las solicitudes tecnolgicas de los
usuarios de una manera responsable. Nuestra meta en Microsoft es asociarnos al usuario en lo que respecta a TI para
ayudarlo a adaptarse a estas tendencias y, al mismo tiempo, asegurarnos de que el entorno sea ms seguro y est
mejor administrado.
-
Mdulo 5 - Identity and Access
Manual del estudiante de Microsoft Virtual Academy
10
Windows Server 2012: Optimizacin de TI para la
nube
Optimizacin de TI para la nube con Windows Server 2012
Al optimizar TI para la nube con Windows Server 2012, aprovecha los conocimientos y la inversin que ya ha
realizado al crear una plataforma coherente y con la que ya se encuentra familiarizado. Windows Server 2012 se
basa en esa familiaridad. Con Windows Server 2012, puede aprovechar toda la experiencia de Microsoft en cuanto a
la creacin y operacin de nubes pblicas y privadas, proporcionadas como una plataforma de servidor dinmica,
disponible y rentable.
Windows Server 2012 ofrece ventajas de cuatro maneras principales:
1. Lo lleva ms all de la virtualizacin. Windows Server 2012 ofrece una infraestructura dinmica y
multiempresa que va ms all de la tecnologa de virtualizacin para brindar una plataforma completa que
le permite crear una nube privada.
2. Proporciona la eficacia de muchos servidores con la simplicidad de uno solo. Windows Server 2012 le
ofrece excelencia en materia de economa al integrar una plataforma de varios servidores altamente
disponible y fcil de administrar.
3. Abre las puertas a todas las aplicaciones en cualquier nube. Windows Server 2012 es una plataforma web
y de aplicaciones amplia, escalable y elstica que le proporciona flexibilidad para crear e implementar
aplicaciones en el entorno local, en la nube y en un entorno hbrido mediante un conjunto coherente de
herramientas y marcos.
4. Da cabida al estilo de trabajo moderno. Windows Server 2012 permite a TI ofrecer a los usuarios un
acceso flexible a los datos y las aplicaciones dondequiera que se encuentren y desde cualquier dispositivo,
al mismo tiempo que simplifica la administracin y mantiene la seguridad, el control y el cumplimiento.
Con Windows Server 2012, Microsoft ha realizado inversiones considerables en cada una de estas cuatro reas para
permitir a los clientes llevar sus operaciones del centro de datos al siguiente nivel. Ahora veamos cmo Windows
Server 2012 permite a los clientes:
-
Mdulo 5 - Identity and Access
Manual del estudiante de Microsoft Virtual Academy
11
Crear e implementar una infraestructura moderna del centro de datos
Crear y ejecutar aplicaciones modernas
Dar cabida a los estilos de trabajo modernos para sus usuarios finales
-
Mdulo 5 - Identity and Access
Manual del estudiante de Microsoft Virtual Academy
12
Desafos y necesidades de los clientes
Las organizaciones de TI evolucionan para cumplir con nuevos desafos. Por este motivo, las soluciones de identidad
y acceso de Windows Server 2012 se han mejorado para ayudar a estas organizaciones a crear soluciones que
admitan el estilo de trabajo moderno.
-
Mdulo 5 - Identity and Access
Manual del estudiante de Microsoft Virtual Academy
13
Cmo llevarlo a la prctica?
-
Mdulo 5 - Identity and Access
Manual del estudiante de Microsoft Virtual Academy
14
Resumen de escenarios
-
Mdulo 5 - Identity and Access
Manual del estudiante de Microsoft Virtual Academy
15
Acceso flexible a los datos con el control de acceso
dinmico
-
Mdulo 5 - Identity and Access
Manual del estudiante de Microsoft Virtual Academy
16
Control de acceso dinmico
El control de acceso dinmico de Windows Server 2012 automatiza el control de la informacin en los servidores de
archivos para cumplir con los requisitos empresariales y regulatorios.
Mediante la tecnologa de clasificacin de archivos del control de acceso dinmico, las organizaciones pueden
identificar o "etiquetar los archivos en sus servidores de archivos. Windows Server 2012 se basa en esta
funcionalidad para 1) controlar el acceso a los archivos etiquetados mediante directivas de acceso centralizado, 2)
auditar y notificar sobre eventos relacionados con acceso o intentos de acceso y 3) utilizar RMS para cifrar
documentos de Office de modo que permanezcan protegidos incluso si salen del servidor de archivos.
Windows Server 2012 incluye un conjunto de caractersticas que permite a los administradores de TI:
Permitir a los propietarios del contenido etiquetar su informacin, en lugar de restringir esta actividad a los
administradores.
Aplicar una directiva de acceso central a la informacin de los archivos etiquetados.
Proporcionar correccin de denegacin de acceso cuando los usuarios no pueden acceder a la informacin.
Configurar directivas de auditora central para registrar el acceso a la informacin para analizarlo con fines
forenses y de auditora.
Proteger en mayor medida informacin confidencial especfica aplicando la proteccin RMS de manera
automtica.
En las siguientes diapositivas se proporcionan ms detalles sobre estas funcionalidades.
-
Mdulo 5 - Identity and Access
Manual del estudiante de Microsoft Virtual Academy
17
Identificacin de la informacin
Las etiquetas identifican los archivos que necesitan protegerse y pueden utilizarse para agruparlos de manera
lgica. En Windows Server 2012, las etiquetas pueden aplicarse de cuatro formas diferentes:
Segn la ubicacin. Cuando un archivo se almacena en un servidor de archivos, "hereda" las etiquetas de su carpeta
primaria.
Manualmente. Los usuarios y administradores pueden etiquetar los archivos de forma manual.
Automticamente. Los archivos se pueden etiquetar automticamente segn su contenido u otras caractersticas.
O bien, las aplicaciones pueden usar distintas API para etiquetar los archivos que administran.
La funcionalidad de clasificacin automtica de archivos es extremadamente til para aplicar etiquetas a grandes
cantidades de informacin existente.
-
Mdulo 5 - Identity and Access
Manual del estudiante de Microsoft Virtual Academy
18
Notificaciones de recursos en Active Directory
Un captulo importante de la historia del control de acceso dinmico es la incorporacin de las notificaciones en
Active Directory. En el pasado, las decisiones de autorizacin se realizaban mayormente segn el usuario o la
pertenencia a grupos en AD. En Active Directory de Windows Server 2012, la posibilidad de emitir "notificaciones" se
ha convertido en una nueva opcin.
En funcin de los atributos de usuario y dispositivo dentro del directorio, se crean notificaciones que pasan a formar
parte del token que se pasa a los orgenes de autorizacin. En el caso del control de acceso dinmico, este origen de
autorizacin es un servidor de archivos. Ahora, las decisiones de acceso y autorizacin tambin se pueden realizar
en funcin de los valores de las propiedades dentro de Active Directory.
En la siguiente diapositiva, podr ver cmo se usan como parte de las reglas de acceso central
-
Mdulo 5 - Identity and Access
Manual del estudiante de Microsoft Virtual Academy
19
Reglas de acceso basadas en expresiones
Ahora que ya hemos etiquetado los archivos para su clasificacin y emitido notificaciones como parte del proceso
de inicio de sesin, podemos tener en cuenta esos dos factores y construir reglas de acceso central que puedan
distribuirse a los servidores de archivos de la organizacin para las decisiones de autorizacin. Estas directivas de
acceso central para los archivos permiten a las organizaciones implementar y administrar de manera central
directivas de autorizacin que incluyan expresiones condicionales mediante notificaciones de usuario, notificaciones
de dispositivo y propiedades de recurso (en funcin de la clasificacin de archivos).
Una regla de directiva central tiene las siguientes partes lgicas:
Aplicabilidad. Esta es una condicin que define a qu archivos se aplica la directiva, por ejemplo, aquellos que
tienen un valor empresarial alto.
Condiciones de acceso.Esta es una lista de una o varias entradas de control de acceso (ACE) que definen quin
puede acceder a los datos, por ejemplo, se permite el acceso de lectura y escritura si el usuario tiene un nivel de
autorizacin alto y usa un dispositivo administrado.
-
Mdulo 5 - Identity and Access
Manual del estudiante de Microsoft Virtual Academy
20
Directivas de acceso central
Las reglas de acceso central se pueden combinar con las directivas de acceso central, que se definen y hospedan en
Active Directory, como se muestra aqu.
Las directivas de acceso central actan como paraguas de seguridad que una organizacin aplica en todos sus
servidores. Estas directivas mejoran (pero no reemplazan) la directiva de acceso local la lista de control de acceso
discrecional (DACL) que se aplica a los archivos y las carpetas. Por ejemplo, si una DACL local en un archivo permite
el acceso a un usuario especfico, pero una directiva central aplicada al archivo restringe el acceso a ese mismo
usuario, este no podr acceder al archivo (y viceversa).
[ms informacin]
Las directivas de acceso central para los archivos permiten a las organizaciones implementar y administrar de
manera central directivas de autorizacin que incluyan expresiones condicionales mediante una combinacin de
notificaciones de usuario y notificaciones de dispositivo obtenidas a partir de atributos y propiedades de recurso
(etiquetas de archivo) de Active Directory. Las notificaciones son aserciones sobre el objeto con el que estn
asociadas y pueden combinarse en directivas lgicas para permitir un control ms especfico sobre los subconjuntos
de archivos definidos arbitrariamente. Por ejemplo, para acceder a datos de gran impacto empresarial, el usuario
debe ser un empleado a jornada completa, obtener acceso desde un dispositivo administrado e iniciar sesin con
una tarjeta inteligente.
Las diversas directivas de acceso de la organizacin se rigen por requisitos regulatorios tanto de cumplimiento
como empresariales. Por ejemplo, si un requisito empresarial de una organizacin restringe el acceso a informacin
de identificacin personal (PII) en los archivos nicamente al propietario del archivo y a los miembros del
departamento de recursos humanos con permiso para ver este tipo de informacin, se trata, en esencia, de una
directiva para toda la organizacin que se aplica a los archivos PII independientemente del lugar donde se
encuentren en los servidores de archivos de la organizacin.
-
Mdulo 5 - Identity and Access
Manual del estudiante de Microsoft Virtual Academy
21
Flujo de trabajo de la directiva de acceso central
Este diagrama muestra la estructura de la directiva de acceso central y las relaciones entre:
-Active Directory, donde se definen y almacenan las directivas,
-El servidor de archivos, donde se aplican las directivas,
-El usuario, que intenta acceder a la informacin en el servidor de archivos.
[leer la diapositiva si es necesario]
-
Mdulo 5 - Identity and Access
Manual del estudiante de Microsoft Virtual Academy
22
Ejemplos de directivas de acceso central
Las directivas de acceso central le proporcionan una enorme flexibilidad al controlar el acceso a los datos de la
organizacin. Algunos ejemplos de directivas de acceso incluyen:
-Directiva de autorizacin en toda la organizacin. Por lo general, se inicia en la oficina de seguridad de la
informacin. Esta directiva se rige por un requisito empresarial de alto nivel o por un requisito de cumplimiento y es
relevante en toda la organizacin. Por ejemplo, nicamente los empleados a jornada completa deben poder acceder
a archivos de gran impacto empresarial.
-Directiva de autorizacin departamental. Cada departamento de una organizacin tiene ciertos requisitos
especiales de control de datos que desean exigir. Por ejemplo, es posible que el departamento de finanzas desee
limitar el acceso a los servidores de finanzas nicamente a los empleados de finanzas.
-Directiva de administracin de datos especficos. Esta directiva por lo general se relaciona con los requisitos
empresariales y de cumplimiento, y su objetivo es proteger el acceso correcto a la informacin que se est
controlando, por ejemplo, impedir la modificacin o eliminacin de archivos que se encuentran bajo retencin o
bajo exhibicin de documentos electrnicos.
-Directiva de autorizacin segn sea necesario. Esta es una directiva de autorizacin de tipo comodn que suele
usarse en conjunto con los tipos de directiva mencionados anteriormente. Ejemplos:
Los proveedores solo deben poder abrir y editar archivos que pertenecen a un proyecto en el que
estn trabajando.
En las instituciones financieras, los muros informativos son importantes. De este modo, los analistas
no tienen acceso a la informacin de corretaje y los agentes de bolsa no tienen acceso a la
informacin analtica.
-
Mdulo 5 - Identity and Access
Manual del estudiante de Microsoft Virtual Academy
23
Ayuda para denegacin de acceso
Desde luego que la denegacin de acceso es solo una parte de una estrategia eficaz de control de acceso central y,
algunas veces, debe otorgarse el acceso despus de haberse denegado en un primer momento. En este caso, el
departamento de soporte o el administrador del servidor de archivos debe administrar cada excepcin de forma
manual, tarea que consume mucho tiempo. Para mitigar este problema, la correccin asistida de denegacin de
acceso de Windows Server 2012 reduce la necesidad de intervenir de forma manual, ya que proporciona tres
procesos diferentes para otorgar a los usuarios acceso a los recursos:
La correccin de denegacin de acceso de Windows Server 2012 proporciona tres procesos diferentes para otorgar
a los usuarios acceso a los recursos que necesitan:
-Autocorreccin. [ms informacin] Si los usuarios pueden determinar cul es el problema y corregirlo para obtener
el acceso solicitado, Windows Server 2012 les proporciona un mensaje de acceso denegado general creado por el
administrador del servidor, a fin de permitirles intentar corregir ellos mismos ciertos casos de acceso denegado. Este
mensaje tambin puede incluir direcciones URL para dirigir a los usuarios a los sitios web de autocorreccin
proporcionados por la organizacin.
-Correccin por parte del propietario del archivo. [ms informacin] Windows Server 2012 permite a los
administradores definir los propietarios de los recursos compartidos mediante una lista de distribucin a fin de que
los usuarios puedan conectarse directamente con ellos para solicitar el acceso. Esto es similar al modelo de
Microsoft SharePoint, en el que el propietario de los datos recibe una solicitud del usuario para obtener acceso al
archivo. En el caso del servidor de archivos, la correccin puede abarcar desde la adicin de derechos de usuario al
archivo o directorio correspondiente hasta la administracin de permisos de recursos compartidos.
-
Mdulo 5 - Identity and Access
Manual del estudiante de Microsoft Virtual Academy
24
-Correccin por parte del departamento de soporte o los administradores de servidores de archivos. [ms
informacin] Esta correccin se aplica cuando el usuario no puede corregir el problema por su cuenta y el
propietario de los datos no puede ayudarlo. Es la correccin ms lenta y costosa. Windows Server 2012 proporciona
una interfaz de usuario para ver los permisos efectivos de los usuarios en un archivo o una carpeta a fin de que sea
ms fcil solucionar los problemas de acceso.
La correccin de denegacin de acceso proporciona a un usuario acceso a un archivo cuando este se le ha
denegado inicialmente:
1. El usuario intenta leer un archivo.
2. El servidor devuelve un mensaje de error de acceso denegado porque no se han asignado al usuario las
notificaciones correspondientes.
3. En un equipo que ejecuta el sistema operativo Windows 8 Consumer Preview, Windows recupera la
informacin de acceso desde el Administrador de recursos del servidor de archivos y muestra un mensaje
con las opciones de correccin de acceso, que pueden incluir un vnculo para solicitar acceso.
4. El usuario solicita acceso al archivo.
5. Una vez que el usuario cumple con los requisitos de acceso (por ejemplo, firma un acuerdo de
confidencialidad o proporciona otro tipo de autenticacin), se actualizan sus notificaciones y puede acceder
al archivo.
-
Mdulo 5 - Identity and Access
Manual del estudiante de Microsoft Virtual Academy
25
Auditora de seguridad
Luego viene la auditora de seguridad.
La auditora es una de las herramientas ms eficaces para ayudar a mantener la seguridad de una empresa. Uno de
los objetivos principales de las auditoras de seguridad es el cumplimiento regulatorio. Por ejemplo, ciertos
estndares de la industria, como las regulaciones de la ley Sarbanes-Oxley, de HIPAA y de la industria de tarjeta de
pago (PCI), requieren que las empresas sigan un estricto conjunto de reglas relacionadas con la privacidad y
seguridad de los datos.
Las auditoras de seguridad ayudan a establecer la presencia o ausencia de este tipo de directivas y, por
consiguiente, comprobar el cumplimiento o incumplimiento de estos estndares. Adems, las auditoras de
seguridad ayudan a detectar comportamientos anormales, identificar y mitigar brechas en la directiva de seguridad
e impedir el comportamiento irresponsable mediante la creacin de una traza de actividad del usuario que puede
usarse para el anlisis forense.
Mediante el control de acceso dinmico, puede establecer directivas de auditora especficas de la organizacin,
que, al igual que las directivas de control de acceso central, se almacenan en Active Directory.
Este diagrama muestra el flujo de trabajo de la auditora de acceso a archivos y las relaciones entre:
-Active Directory, donde se crean los tipos de notificaciones y las propiedades de recurso,
-La directiva de grupo, donde se definen y almacenan las directivas de auditora,
-El servidor de archivos, donde se aplican las directivas y las propiedades de recurso,
-Y el usuario, que intenta acceder a la informacin en el servidor de archivos.
[leer la diapositiva si es necesario]
-
Mdulo 5 - Identity and Access
Manual del estudiante de Microsoft Virtual Academy
26
Ejemplos de directivas de auditora
Con Windows Server 2012, puede crear directivas de auditora mediante notificaciones y propiedades de recurso (de
forma similar al mtodo usado para las reglas de acceso central). De hecho, la metodologa es esencialmente la
misma. La diferencia principal est en si la regla se encuentra en modo de auditora o afecta a los permisos en
tiempo real. Esto da como resultado directivas de auditora ms enriquecidas, especficas y fciles de administrar. Da
lugar a escenarios que, hasta ahora, eran imposibles o muy difciles de llevar a cabo.
Esta diapositiva muestra ejemplos de directivas de auditora que pueden crear los administradores. [Ver las
directivas en la diapositiva]
Estas directivas ayudan a regular el volumen de eventos de auditora y limitarlos nicamente a los usuarios o datos
ms relevantes.
-
Mdulo 5 - Identity and Access
Manual del estudiante de Microsoft Virtual Academy
27
Proceso de cifrado basado en clasificacin
Y, finalmente, tenemos funcionalidades nuevas relacionadas con el cifrado.
Hay una gran cantidad de razones comerciales para cifrar los archivos con informacin comercial confidencial, pero
el cifrado de toda la informacin es costoso y puede causar un impacto negativo en la productividad de la empresa.
Esto significa que las organizaciones tienden a utilizar diferentes enfoques y priorizar diferentes aspectos a la hora
de cifrar su informacin.
Para solucionar este problema, Windows Server 2012 ofrece la posibilidad de cifrar automticamente los archivos de
Microsoft Office confidenciales segn su clasificacin. Esto se lleva a cabo mediante tareas de administracin de
archivo que invocan la proteccin AD RMS para los documentos de Office confidenciales unos pocos segundos
despus de que el archivo se identifica como confidencial en el servidor de archivos.
El cifrado RMS proporciona otro nivel de proteccin para los archivos. Incluso si una persona con acceso a un
archivo confidencial lo enva accidentalmente por correo electrnico, el archivo contina protegido por el cifrado
RMS. Cualquier usuario que desee acceder a este primero deber autenticarse en un servidor RMS para recibir la
clave de descifrado.
Este escenario requiere una implementacin previa de RMS.
[Explicar el escenario citado]
-
Mdulo 5 - Identity and Access
Manual del estudiante de Microsoft Virtual Academy
28
Control de acceso dinmico: ventajas
El control de acceso dinmico de Windows Server 2012 proporciona a las organizaciones nuevas formas de
controlar el acceso a la informacin y de lograr el cumplimiento de las regulaciones. Las organizaciones
pueden clasificar los datos no estructurados de sus servidores de archivos y, posteriormente, aplicar el
control de la informacin en funcin de esta clasificacin mediante controles de auditora y acceso de
ltima generacin, as como a travs del cifrado basado en clasificacin.
Identificar datos: la clasificacin automtica y manual de los archivos puede aplicarse a los datos de
las etiquetas en los servidores de archivos de toda la organizacin
Controlar el acceso a los archivos: las directivas de acceso central permiten a las organizaciones
aplicar directivas de red de seguridad para el control de la informacin
Auditar el acceso a los archivos: directivas de auditora para la elaboracin de informes de
cumplimiento y el anlisis forense
Aplicar el cifrado RMS: cifrado RMS automtico para los documentos de Office confidenciales para
reducir la fuga de informacin
-
Mdulo 5 - Identity and Access
Manual del estudiante de Microsoft Virtual Academy
29
Demostracin
Rellene el ttulo de la demostracin segn la demostracin que planee presentar. Si no planea presentar
demostraciones, oculte esta diapositiva.
Las demostraciones click-through se encuentran (o se encontrarn) en \\scdemostore01\demostore\Windows
Server 2012\WS 2012 Demo Series\Click Thru Demos\Identity and Access
Las instrucciones para la compilacin de un entorno de demostracin se encuentran aqu:
\\scdemostore01\demostore\Windows Server 2012\WS 2012 Demo Series\Demo Builds
-
Mdulo 5 - Identity and Access
Manual del estudiante de Microsoft Virtual Academy
30
Active Directory para la nube
-
Mdulo 5 - Identity and Access
Manual del estudiante de Microsoft Virtual Academy
31
Virtualizacin ms segura de controladores de
dominio
Las mquinas virtuales se pueden revertir a un estado anterior cuando se aplican instantneas, pero los relojes de
los controladores de dominio suponen que el tiempo siempre avanza. Si un administrador aplica una instantnea a
un controlador de dominio virtual por accidente, puede ocasionar que este cree entidades de seguridad con la
misma marca de tiempo que los que ya existen en el dominio, en otras palabras, entidades de seguridad duplicadas.
Esto tambin puede suceder si se copia un controlador de dominio virtual dentro del dominio.
En Windows Server 2012, un controlador de dominio virtual puede detectar cundo se aplican instantneas o se
copia una mquina virtual, gracias a un identificador nico expuesto por el hipervisor que se denomina
GenerationID de mquina virtual. Este GenerationID de mquina virtual cambia cuando la mquina virtual
experimenta un evento que afecta a su posicin en el tiempo. El GenerationID de mquina virtual se expone en el
espacio de direcciones de la mquina virtual dentro de su BIOS y se pone a disposicin de su sistema operativo y
sus aplicaciones a travs de un controlador de Windows Server 2012.
Durante el arranque y antes de completar cualquier transaccin, un controlador de dominio virtual de Windows
Server 2012 compara el valor actual del GenerationID de mquina virtual con el valor almacenado en el directorio.
Un error de coincidencia se interpreta como un evento de reversin, lo que causa que el controlador de dominio
converja con otros controladores de dominio para impedir que cree entidades de seguridad duplicadas.
Para que los controladores de dominio virtuales de Windows Server 2012 obtengan este nivel de proteccin
adicional, el controlador de dominio virtual debe hospedarse en un hipervisor con reconocimiento de GenerationID
de mquina virtual, como Hyper-V de Windows Server 2012.
-
Mdulo 5 - Identity and Access
Manual del estudiante de Microsoft Virtual Academy
32
Clonacin de controladores de dominio virtuales
Muchos de los controladores de dominio del mismo dominio o bosque son virtualmente idnticos, por lo que los
controladores de dominio virtuales son buenos candidatos para la clonacin. De todos modos, hasta ahora el
proceso de implementacin de un controlador de dominio virtual implicaba muchos pasos redundantes:
1. Preparar e implementar la imagen de servidor de Sysprep.
2. Promover manualmente un controlador de dominio de una de las siguientes maneras:
A travs del cable. Puede ser lento en funcin del tamao del directorio.
Instalar desde el medio (IFM). La preparacin y copia del medio aade tiempo y complejidad.
1. Realizar pasos de configuracin posteriores a la implementacin cuando corresponde.
Con Windows Server 2012 esto ha cambiado y los controladores de dominio virtuales pueden clonarse. Con el
nuevo asistente para implementar controladores de dominio del Administrador del servidor, puede promover un
solo controlador de dominio virtual y, a continuacin, implementar rpidamente todos los controladores de
dominio virtuales adicionales, dentro del mismo dominio, mediante la clonacin.
[Ms informacin]
El proceso de clonacin implica la creacin de una copia de un controlador de dominio virtual existente, la
autorizacin del controlador de dominio de origen para clonarse en AD DS y la creacin de un archivo de
configuracin, el cual puede contener instrucciones de promocin detalladas (nombre, direccin IP, servidores del
Sistema de nombres de dominio [DNS], etc.) o dejarse vaco para permitir que el sistema rellene los espacios
automticamente. Esto reduce radicalmente el tiempo y la cantidad de pasos involucrados, ya que elimina las tareas
de implementacin repetitivas y, adems, le permite implementar completamente los controladores de dominio
adicionales que el administrador de dominio de Active Directory autoriz y configur para su clonacin.
-
Mdulo 5 - Identity and Access
Manual del estudiante de Microsoft Virtual Academy
33
Asistente para implementar controladores de dominio
Se ha comprobado que la adicin de controladores de dominio de rplica que ejecutan versiones ms recientes del
sistema operativo Windows Server es:
-Lenta
-Propensa a errores
-Compleja
Por ejemplo, en el pasado, los profesionales de TI deban hacer lo siguiente:
-Obtener la versin (nueva) correcta de las herramientas ADprep.
-Iniciar sesin de manera interactiva en controladores de dominio por dominio especficos mediante una gran
variedad de credenciales diferentes.
-Ejecutar la herramienta de preparacin en la secuencia correcta con los modificadores correctos.
-Esperar la convergencia de la replicacin entre cada paso.
El asistente para implementar AD DS de Windows Server 2012 integra todos estos pasos para implementar los
controladores de dominio nuevos en una sola interfaz grfica. Solo requiere una credencial del nivel de empresa y
-
Mdulo 5 - Identity and Access
Manual del estudiante de Microsoft Virtual Academy
34
puede preparar el bosque o el dominio apuntando remotamente a los contenedores de roles del maestro de
operaciones correspondientes.
El asistente viene integrado en el Administrador del servidor y se basa en Windows PowerShell. Puede apuntar a
varios servidores e implementar controladores de dominio de forma remota, lo que hace que la experiencia de
implementacin sea ms simple, coherente y rpida.
-
Mdulo 5 - Identity and Access
Manual del estudiante de Microsoft Virtual Academy
35
Caractersticas del asistente para la implementacin
El nuevo asistente para promover controladores de dominio:
Adprep.exe est integrado en el proceso de instalacin de los Servicios de dominio de Active
Directory. Esto reduce el tiempo de instalacin de AD DS y disminuye la posibilidad de que se
produzcan errores que pueden bloquear la promocin de controladores de dominio.
Admite la implementacin remota. El asistente est integrado en Windows PowerShell y puede
ejecutarse de forma remota en varios servidores. Esto reduce enormemente la posibilidad de que se
produzcan errores administrativos y el tiempo general necesario para la instalacin, especialmente
al implementar varios controladores de dominio en dominios y regiones globales.
Valida los requisitos previos de todo el entorno antes de comenzar con la implementacin. La
validacin de requisitos previos se lleva a cabo dentro del asistente, de este modo, se identifican los
posibles errores antes de que comience la implementacin. Se pueden corregir las condiciones de
error antes de que estos se produzcan y, as, evitar las preocupaciones que surgen de una
actualizacin completada parcialmente.
Se adapta a los escenarios de implementacin comunes. Las pginas de configuracin se
agrupan en una secuencia que refleja las opciones de promocin ms comunes. Las opciones
relacionadas se agrupan en una menor cantidad de pginas del asistente. Esto proporciona un
mejor contexto para elegir las opciones de la instalacin y reduce la cantidad de pasos y el tiempo
necesario para completar la implementacin de controladores de dominio.
Est integrado en el Administrador del servidor y utiliza Windows PowerShell para lograr una
coherencia de interfaz de usuario y de la lnea de comandos. El asistente puede exportar un
script de Windows PowerShell que contenga todas las opciones especificadas durante la
implementacin para simplificar el proceso de automatizacin de las implementaciones
subsiguientes con scripts.
-
Mdulo 5 - Identity and Access
Manual del estudiante de Microsoft Virtual Academy
36
Visor del historial de Windows PowerShell
En Windows Server 2012, el visor del historial de Windows PowerShell en el Centro de administracin de
Active Directory permite a los administradores ver los comandos de Windows PowerShell mientras se ejecutan en
tiempo real. Por ejemplo, al crear una nueva directiva de contraseas muy especfica, el Centro de administracin de
Active Directory muestra los comandos de Windows PowerShell equivalentes en el panel de tareas del visor del
historial de Windows PowerShell. Puede usar esos comandos para crear un script de Windows PowerShell para
automatizar la tarea.
Mediante la combinacin de scripts con tareas administradas, puede automatizar completamente las tareas
administrativas cotidianas que anteriormente se completaban de forma manual. Los cmdlets y la sintaxis necesaria
se crean automticamente, por lo que se requiere muy poca experiencia con Windows PowerShell. Puesto que los
comandos de Windows PowerShell son los mismos que los que ejecuta el Centro de administracin de
Active Directory, funcionan tal como lo espera el usuario.
Esto implica muchas ventajas diferentes, particularmente para los nuevos usuarios de PowerShell. [Ver las vietas en
la diapositiva si es necesario]
-
Mdulo 5 - Identity and Access
Manual del estudiante de Microsoft Virtual Academy
37
Activacin basada en Active Directory
En la actualidad, el programa de licencias por volumen de Windows y Office tiene varias caractersticas que imponen
una carga en los administradores:
-Requiere servidores del Servicio de administracin de claves (KMS).
-Requiere trfico RPC en la red, incluso cuando algunas organizaciones desean desactivar este tipo de trfico.
-No admite ningn tipo de autenticacin porque los trminos de licencia prohben que el cliente conecte el servidor
KMS con cualquier acceso de red externo.
-Y requiere cierto aprendizaje, ya que no hay GUI y la solucin llave en mano solo abarca alrededor del 90 por
ciento de las implementaciones.
En definitiva, el proceso es ms complicado, restrictivo y laborioso de lo necesario. Esta situacin se ha mejorado en
Windows Server 2012 al utilizar Active Directory para ayudarlo a activar sus clientes.
No se necesitan mquinas adicionales
No se requieren llamadas a procedimiento remoto (RPC); se utiliza exclusivamente el protocolo ligero de
acceso a directorios (LDAP)
Incluye controladores de dominio de solo lectura (RODC)
La activacin de la CSVLK (clave de licencia por volumen especfica de cliente) inicial requiere lo siguiente:
nico contacto con los servicios de activacin de Microsoft a travs de Internet (igual a la activacin
comercial)
Especificacin de clave mediante la lnea de comandos o el rol del servidor de activacin de
volumen
Repeticin del proceso de activacin para bosques adicionales hasta seis veces de manera
predeterminada
Objeto de activacin
Representa la prueba de compra
Las mquinas pueden pertenecer a cualquier dominio del bosque
-
Mdulo 5 - Identity and Access
Manual del estudiante de Microsoft Virtual Academy
38
Administracin de cuentas de servicio para grupos de
servidores
Las cuentas de servicio administradas (MSA) son un nuevo tipo de cuenta incorporado en Windows
Server 2008 R2 y Windows 7. Gracias a ellas, los administradores ya no necesitan administrar manualmente los
nombres de entidad de seguridad de servicio (SPN) y las credenciales para las cuentas de servicio del nivel de
domino. Hasta ahora, sin embargo, esta caracterstica no se encontraba disponible para los grupos de servidores,
como clsteres, que comparten su identidad y SPN.
Con las MSA de grupo, los servicios o administradores de servicios no tienen que administrar la sincronizacin de
contraseas entre instancias de servicio. Las MSA de grupo admiten el restablecimiento de contraseas, los hosts
que se mantienen sin conexin por un perodo de tiempo y la administracin sin problemas de grupos host
miembros para todas las instancias de un servicio.
[ms informacin]
Los administradores pueden implementar clsteres o granjas de servidores de identidad nica en Windows
Server 2012, en los cuales los clientes del dominio pueden autenticarse sin saber a qu instancia de un
clster o granja de servidores se estn conectando
Los administradores pueden configurar servicios con el Administrador de control de servicios para usar una
identidad de dominio compartida que administre las contraseas automticamente
Una vez creada la MSA de grupo, el administrador del dominio puede delegar la administracin de esta
cuenta a un administrador de servicios
Las organizaciones pueden implementar clsteres o granjas de servidores de identidad nica en servidores
que ejecutan Windows 8 Consumer Preview para las identidades en dominios de modo mixto
-
Mdulo 5 - Identity and Access
Manual del estudiante de Microsoft Virtual Academy
39
Servicios de dominio de Active Directory: ventajas
Servicios de dominio de Active Directory de Windows Server 2012 reduce las complejidades y los requisitos de
tiempo asociados con la implementacin de controladores de dominio, incorpora medidas de seguridad que
permiten a los controladores de dominio obtener un nivel adicional de proteccin en entornos virtualizados,
proporciona una experiencia de administracin simplificada y ms intuitiva y coherente a travs de la interfaz de
usuario de Windows PowerShell y expande la funcionalidad de Active Directory para mejorar la activacin de
escritorio y agregar administracin de cuentas de servicio de grupo.
-
Mdulo 5 - Identity and Access
Manual del estudiante de Microsoft Virtual Academy
40
Demostracin
Rellene el ttulo de la demostracin segn la demostracin que planee presentar. Si no planea presentar
demostraciones, oculte esta diapositiva.
Las demostraciones click-through se encuentran (o se encontrarn) en \\scdemostore01\demostore\Windows
Server 2012\WS 2012 Demo Series\Click Thru Demos\Identity and Access
Las instrucciones para la compilacin de un entorno de demostracin se encuentran aqu:
\\scdemostore01\demostore\Windows Server 2012\WS 2012 Demo Series\Demo Builds
-
Mdulo 5 - Identity and Access
Manual del estudiante de Microsoft Virtual Academy
41
Acceso remoto sin problemas con DirectAccess
-
Mdulo 5 - Identity and Access
Manual del estudiante de Microsoft Virtual Academy
42
Acceso remoto integrado
DirectAccess se incorpor en Windows 7 y Windows Server 2008 R2 para permitir a los usuarios remotos acceder
de manera ms segura a recursos compartidos, sitios web y aplicaciones en una red interna sin necesidad de
conectarse a una VPN. DirectAccess establece una conectividad bidireccional con una red interna cada vez que un
equipo habilitado para DirectAccess se conecta a Internet. Los usuarios no tienen que pensar en cmo conectarse a
la red interna y los administradores de TI pueden administrar equipos remotos que se encuentran fuera de la
oficina, incluso si estos equipos no estn conectados a la VPN.
Acceso remoto integrado
Con Windows Server 2012, DirectAccess y VPN pueden configurarse juntos en la consola de administracin de
acceso remoto mediante un solo asistente. Otras caractersticas de los Servicios de enrutamiento y acceso remoto
(RRAS) se pueden configurar mediante la consola de administracin de RRAS heredada. El nuevo rol permite una
migracin ms sencilla de las implementaciones de RRAS y DirectAccess de Windows 7 y proporciona varias
caractersticas y mejoras nuevas.
[Diapositiva siguiente]
-
Mdulo 5 - Identity and Access
Manual del estudiante de Microsoft Virtual Academy
43
Novedades de Windows Server 2012
Windows Server 2012 mejora y simplifica DirectAccess a travs de una facilidad de uso mejorada, una
implementacin sencilla, escalabilidad y rendimiento mejorados, y compatibilidad con nuevos escenarios.
-
Mdulo 5 - Identity and Access
Manual del estudiante de Microsoft Virtual Academy
44
Conectividad entre entornos
Windows Server 2012 proporciona un sistema operativo altamente optimizado para la nube. La funcionalidad VPN
de sitio a sitio en acceso remoto proporciona conectividad entre entornos entre empresas y proveedores de
servicios de hospedaje. La conectividad entre entornos permite a las empresas conectarse a subredes privadas en
una red de nube hospedada. Tambin permite la conectividad entre ubicaciones empresariales separadas
geogrficamente. Con la conectividad entre entornos, las empresas pueden usar sus equipos de red existentes para
conectarse a proveedores de hospedaje mediante el protocolo IKEv2-IPsec (Intercambio de claves por red versin
2/protocolo de seguridad de Internet) estndar de la industria.
En el ejemplo de esta diapositiva, ocurre lo siguiente:
1. Contoso.com y Woodgrove.com descargan parte de la infraestructura de su empresa en una nube
hospedada.
2. El proveedor de hospedaje proporciona nubes privadas para cada organizacin.
3. En la nube hospedada, las mquinas virtuales que ejecutan Windows Server 2012 estn configuradas como
servidores de acceso remoto que ejecutan VPN de sitio a sitio.
4. En cada nube privada hospedada, se implementa un clster de dos o ms servidores de acceso remoto para
proporcionar alta disponibilidad y conmutacin por error.
5. Contoso.com tiene dos ubicaciones de sucursales. En cada una de ellas, se implementa un servidor de
acceso remoto de Windows Server 2012 para proporcionar una conexin de conectividad entre entornos
para la nube hospedada y entre las sucursales.
6. Los equipos de las sucursales de Contoso.com que ejecutan el rol de servidor de acceso remoto unificado
en Windows Server 2012 tambin se configuran como servidores de DirectAccess en una implementacin
multisitio. Los clientes de DirectAccess pueden acceder de manera ms segura a cualquier recurso de la
nube pblica de Contoso.com o de las sucursales de Contoso.com desde cualquier ubicacin en Internet.
7. Woodgrove.com puede usar los enrutadores existentes para conectarse a la nube hospedada porque la
funcionalidad entre entornos de Windows Server 2012 cumple con los estndares IKEv2 e IPsec.
-
Mdulo 5 - Identity and Access
Manual del estudiante de Microsoft Virtual Academy
45
Experiencia de administracin mejorada
Mediante la nueva consola de administracin de acceso remoto, puede configurar, administrar y supervisar varios
servidores de acceso remoto VPN y de DirectAccess en una sola ubicacin. La consola proporciona un panel que le
permite ver informacin sobre la actividad del servidor y del cliente. Tambin puede generar informes para obtener
informacin adicional ms detallada. El estado de las operaciones proporciona informacin de supervisin
exhaustiva sobre componentes de servidor especficos. Los registros y el seguimiento de eventos ayudan a
diagnosticar problemas especficos. Mediante la supervisin de cliente, puede obtener vistas detalladas de los
equipos y usuarios conectados e incluso puede supervisar los recursos a los que estn accediendo los clientes. Los
datos de contabilidad se pueden registrar en una base de datos local o en un servidor del Servicio de autenticacin
remota telefnica de usuario (RADIUS).
Adems de la consola de administracin de acceso remoto, puede usar los scripts automatizados y las herramientas
de la interfaz de la lnea de comandos de Windows PowerShell para la instalacin, configuracin, administracin,
supervisin y solucin de problemas de acceso remoto.
En los equipos cliente, los usuarios pueden acceder a la aplicacin del Asistente para la conectividad de red,
integrada con el Administrador de conexiones de red de Windows, para obtener una vista concisa del estado de
conexin de DirectAccess y vnculos a recursos de ayuda corporativos, herramientas de diagnstico e informacin
de solucin de problemas. Los usuarios tambin pueden especificar credenciales de contrasea de un solo uso
(OTP) si est configurada la autenticacin OTP para DirectAccess.
-
Mdulo 5 - Identity and Access
Manual del estudiante de Microsoft Virtual Academy
46
Implementacin sencilla
El diseo de instalacin y configuracin mejorado de Windows Server 2012 le permite configurar una
implementacin funcional rpida y fcilmente sin realizar cambios en la infraestructura de red interna. En las
implementaciones simples, puede configurar DirectAccess sin necesidad de configurar una infraestructura de
certificados. Los clientes de DirectAccess ahora pueden autenticarse por su cuenta solo con credenciales de Active
Directory, ya que no se requieren certificados de equipo. Adems, puede elegir usar un certificado autofirmado
creado automticamente por DirectAccess para IP-HTTPS y para la autenticacin del servidor de ubicacin de red.
Para simplificar an ms la implementacin, DirectAccess de Windows Server 2012 admite el acceso a los servidores
internos que ejecutan solo IPv4. No se requiere una infraestructura IPv6 para la implementacin de DirectAccess.
-
Mdulo 5 - Identity and Access
Manual del estudiante de Microsoft Virtual Academy
47
Mejoras en la escalabilidad
El acceso remoto ofrece varias mejoras en la escalabilidad, incluida la compatibilidad con una mayor cantidad de
usuarios con un mejor rendimiento y costos ms bajos:
Puede agrupar varios servidores de acceso remoto en clster para obtener equilibrio de carga, alta
disponibilidad y conmutacin por error. La carga del trfico del clster puede equilibrarse mediante el uso
del equilibrio de carga de red (NLB) de Windows o un equilibrador de carga de terceros. Se pueden agregar
servidores al clster, o quitarse de este, sin que se interrumpan las conexiones en curso.
El rol de servidor de acceso remoto aprovecha la virtualizacin de E/S de raz nica (SR-IOV) para obtener
un rendimiento de E/S mejorado al ejecutarse en una mquina virtual. Adems, el acceso remoto mejora la
escalabilidad general del host de servidor gracias a la compatibilidad con funcionalidades de descarga de
hardware de IPsec disponibles en muchas tarjetas de interfaz de servidor que llevan a cabo el cifrado y
descifrado de paquetes en el hardware.
Las mejoras de la optimizacin en IP-HTTPS usan el cifrado que proporciona IPsec. Esta optimizacin,
combinada con la eliminacin del requisito de cifrado de Capa de sockets seguros (SSL), incrementa la
escalabilidad y el rendimiento.
-
Mdulo 5 - Identity and Access
Manual del estudiante de Microsoft Virtual Academy
48
Escenarios de implementacin nuevos y mejorados
El acceso remoto de Windows Server 2012 incluye mejoras adicionales, incluida la implementacin integrada para
varios escenarios que requeran configuracin manual en Windows Server 2008 R2.
Estas mejoras incluyen el tnel forzado (que enva todo el trfico a travs de la conexin de DirectAccess),
compatibilidad con Proteccin de acceso a redes (NAP), la capacidad de localizar el servidor de acceso remoto ms
cercano de clientes de DirectAccess que se encuentran en diferentes ubicaciones geogrficas y la implementacin
de DirectAccess solo para la administracin remota.
Con Windows Server 2012, ahora puede configurar un servidor de DirectAccess con dos adaptadores de red en el
permetro de la red o detrs de un dispositivo perimetral, o bien un solo adaptador de red en ejecucin detrs de
un firewall o dispositivo NAT. La posibilidad de usar un solo adaptador elimina la necesidad de tener direcciones
IPv4 pblicas dedicadas para la implementacin de DirectAccess. Con esta configuracin, los clientes se conectan al
servidor de DirectAccess mediante IP-HTTPS.
Los servidores de acceso remoto pueden configurarse en una implementacin multisitio que permita a los usuarios
que se encuentran en ubicaciones geogrficas dispersas conectarse a un punto de entrada multisitio cercano. El
trfico a travs de la implementacin multisitio se puede distribuir y equilibrar con un equilibrador de carga global
externo. Para admitir la tolerancia a errores, la redundancia y la escalabilidad, los servidores de DirectAccess ahora
se pueden implementar en una configuracin de clster mediante un equilibrador de carga de Windows o un
equilibrador de carga de hardware externo.
DirectAccess en Windows Server 2012 agrega compatibilidad con la autenticacin en dos fases mediante una OTP.
Para la autenticacin de tarjeta inteligente en dos fases, Windows Server 2012 admite el uso de las funcionalidades
de tarjeta inteligente virtual basada en el Mdulo de plataforma segura (TPM) disponibles en Windows 8. El TPM de
los equipos cliente puede actuar como tarjeta inteligente virtual para la autenticacin en dos fases, lo que elimina
los costos y la sobrecarga involucrados en la implementacin de tarjeta inteligente.
Windows Server 2012 incorpora la capacidad de los equipos para unirse a un dominio de Active Directory y recibir la
configuracin de dominio de forma remota a travs de Internet. Esta funcionalidad permite una implementacin
-
Mdulo 5 - Identity and Access
Manual del estudiante de Microsoft Virtual Academy
49
sencilla de equipos nuevos en oficinas remotas y el aprovisionamiento de la configuracin de cliente a los clientes
de DirectAccess.
.
-
Mdulo 5 - Identity and Access
Manual del estudiante de Microsoft Virtual Academy
50
Demostracin
Rellene el ttulo de la demostracin segn la demostracin que planee presentar. Si no planea presentar
demostraciones, oculte esta diapositiva.
Las demostraciones click-through se encuentran (o se encontrarn) en \\scdemostore01\demostore\Windows
Server 2012\WS 2012 Demo Series\Click Thru Demos\Identity and Access
Las instrucciones para la compilacin de un entorno de demostracin se encuentran aqu:
\\scdemostore01\demostore\Windows Server 2012\WS 2012 Demo Series\Demo Builds
-
Mdulo 5 - Identity and Access
Manual del estudiante de Microsoft Virtual Academy
51
Puesta en marcha
-
Mdulo 5 - Identity and Access
Manual del estudiante de Microsoft Virtual Academy
52
Caractersticas principales para responder los desafos
En resumen:
En las implementaciones IaaS, la seguridad, la identidad y el control de los activos son reas que requieren atencin
especial por parte de los administradores de TI, particularmente al migrar a entornos de nube pblica o privada
virtualizados.
Windows Server 2012 facilita esas tareas, ya que proporciona caractersticas nuevas y mejoradas simples, pero
exhaustivas, entre las que se incluyen las siguientes:
Control de acceso dinmico, para una seguridad flexible, inteligente y auditable,
Mejoras en los Servicios de dominio de Active Directory para una implementacin y administracin ms
sencilla en entornos virtuales,
Y mejoras en DirectAccess para admitir implementaciones ms flexibles, un rendimiento ms alto y la
experiencia del cliente
Gracias!
-
Mdulo 5 - Identity and Access
Manual del estudiante de Microsoft Virtual Academy
53
Obtener la evaluacin, la certificacin y material de
aprendizaj
-
Mdulo 5 - Identity and Access
Manual del estudiante de Microsoft Virtual Academy
54