1423.ws 2012 deck_ identity and access

Published: 1th December 2012

Windows Server 2012: Technical Overview

Mdulo 5 - Identity and Access

Module Manual Authors: Symon Perriman

Corey Hynes

Manual del estudiante de Microsoft Virtual Academy ii

La informacin contenida en este documento, incluidas las URL y otras referencias a sitios web de Internet, est sujeta a cambios sin previo aviso. Salvo que se indique expresamente lo contrario, los ejemplos de empresas, organizaciones, productos, nombres de dominio, direcciones de correo electrnico, logotipos, personas, lugares y eventos aqu representados son ficticios, y no se pretende ni debe deducirse ninguna asociacin con ninguna empresa, organizacin, producto, nombre de dominio, direccin de correo electrnico, logotipo, persona, lugar o evento real. El cumplimiento de todas las leyes de propiedad intelectual aplicables es responsabilidad del usuario. Sin limitar los derechos derivados de la propiedad intelectual, no se puede reproducir, almacenar ni introducir en un sistema de recuperacin de datos ninguna parte del presente documento, ni tampoco transmitirla de ninguna forma o en ningn medio (electrnico, mecnico, fotocopias, grabacin, o cualquier otro) ni para ningn propsito sin contar con el permiso expreso por escrito de Microsoft Corporation. Microsoft puede tener patentes, solicitudes de patente, marcas registradas o derechos de propiedad intelectual de cualquier tipo que cubran el tema tratado en este documento. Salvo que se indique expresamente en algn contrato de licencia por escrito de Microsoft, disponer del presente documento no le transfiere a usted ninguna licencia sobre estas patentes, marcas registradas, derechos de propiedad intelectual o cualquier otro tipo depropiedad intelectual. 2012 Microsoft Corporation. Reservados todos los derechos. Microsoft es una marca registrada o bien una marca de Microsoft Corporation en Estados Unidos y otros pases. Los nombres de empresas y productos reales mencionados en este documento pueden ser marcas comerciales de sus respectivos propietarios.

Manual del estudiante de Microsoft Virtual Academy iii

Contents

CONTENTS .................................................................................................................................................................................................................. III

MDULO 5 - IDENTITY AND ACCESS .............................................................................................................................................................. 5

Informacin general sobre acerca de identidad y acceso ................................................................................................................... 5

Gua ........................................................................................................................................................................................................................... 6

Agenda .................................................................................................................................................................................................................... 7

Tendencias y desafos de la industria .......................................................................................................................................................... 8

Windows Server 2012: Optimizacin de TI para la nube ................................................................................................................... 10

Desafos y necesidades de los clientes ..................................................................................................................................................... 12

Cmo llevarlo a la prctica? ........................................................................................................................................................................ 13

Resumen de escenarios .................................................................................................................................................................................. 14

Acceso flexible a los datos con el control de acceso dinmico ...................................................................................................... 15

Control de acceso dinmico .......................................................................................................................................................................... 16

Notificaciones de recursos en Active Directory ..................................................................................................................................... 18

Reglas de acceso basadas en expresiones .............................................................................................................................................. 19

Directivas de acceso central .......................................................................................................................................................................... 20

Flujo de trabajo de la directiva de acceso central ................................................................................................................................ 21

Ejemplos de directivas de acceso central ................................................................................................................................................ 22

Ayuda para denegacin de acceso ............................................................................................................................................................ 23

Auditora de seguridad ................................................................................................................................................................................... 25

Ejemplos de directivas de auditora ........................................................................................................................................................... 26

Proceso de cifrado basado en clasificacin ............................................................................................................................................ 27

Control de acceso dinmico: ventajas ....................................................................................................................................................... 28

Demostracin ...................................................................................................................................................................................................... 29

Active Directory para la nube ....................................................................................................................................................................... 30

Virtualizacin ms segura de controladores de dominio .................................................................................................................. 31

Clonacin de controladores de dominio virtuales ............................................................................................................................... 32

Asistente para implementar controladores de dominio .................................................................................................................... 33

Caractersticas del asistente para la implementacin ......................................................................................................................... 35

Visor del historial de Windows PowerShell ............................................................................................................................................. 36

Activacin basada en Active Directory...................................................................................................................................................... 37

Administracin de cuentas de servicio para grupos de servidores ............................................................................................... 38

Servicios de dominio de Active Directory: ventajas ............................................................................................................................. 39

Demostracin ...................................................................................................................................................................................................... 40

Manual del estudiante de Microsoft Virtual Academy

iv

Acceso remoto sin problemas con DirectAccess .................................................................................................................................. 41

Acceso remoto integrado .............................................................................................................................................................................. 42

Novedades de Windows Server 2012 ....................................................................................................................................................... 43

Conectividad entre entornos ........................................................................................................................................................................ 44

Experiencia de administracin mejorada ................................................................................................................................................. 45

Implementacin sencilla ................................................................................................................................................................................. 46

Mejoras en la escalabilidad ........................................................................................................................................................................... 47

Escenarios de implementacin nuevos y mejorados .......................................................................................................................... 48

Demostracin ...................................................................................................................................................................................................... 50

Puesta en marcha .............................................................................................................................................................................................. 51

Caractersticas principales para responder los desafos .................................................................................................................... 52

Obtener la evaluacin, la certificacin y material de aprendizaj .................................................................................................... 53


Manual del estudiante de Microsoft Virtual Academy 5


Informacin general sobre acerca de identidad y

acceso

Hola. Hoy hablar sobre el modo en que Windows Server 2012 ayuda a los profesionales de TI a controlar la

identidad y el acceso.



Gua



Agenda



Tendencias y desafos de la industria

La nube y la movilidad son dos tendencias importantes que han comenzado a afectar al entorno de TI, en general, y al

centro de datos, en particular. Hay cuatro preguntas clave de TI que quitan el sueo a los clientes:

Cmo me adapto a la nube?

Con una nube privada, obtiene muchos de los beneficios de la informtica en nube pblica, incluidos el autoservicio, la

escalabilidad y la elasticidad, con la personalizacin y el control adicionales que proporcionan los recursos dedicados.

Los clientes de Microsoft pueden crear una nube privada hoy mismo con Windows Server 2008 R2, Microsoft Hyper-V y

Microsoft System Center, pero son muchos los interrogantes en cuanto a cul es el mejor modo de escalar y proteger

las cargas de trabajo en las nubes privadas y la manera ms rentable de crear nubes privadas, ofrecer servicios de

nube y conectarse a ellos de forma ms segura.

Cmo aumento la eficiencia en mi centro de datos?

Independientemente de si va a crear su propia nube privada, tiene una empresa que ofrece servicios de nube o

simplemente desea mejorar las operaciones de su centro de datos tradicional, es fundamental disminuir los costos de

infraestructura y los gastos de funcionamiento al mismo tiempo que aumenta la disponibilidad general de sus sistemas

de produccin. Microsoft comprende que una eficiencia integrada en la plataforma del servidor y una buena

administracin de la infraestructura de la nube y del centro de datos son importantes para lograr un funcionamiento

excelente.



Cmo proporciono aplicaciones de ltima generacin?

A medida que crece el inters en la informtica en nube y en la posibilidad de ofrecer servicios de TI basados en web,

nuestros clientes nos aseguran que necesitan una plataforma web escalable y la capacidad de crear, implementar y

admitir aplicaciones de nube que puedan ejecutarse en los entornos locales o en la nube. Tambin desean contar con

la posibilidad de usar una amplia gama de herramientas y marcos para sus aplicaciones de ltima generacin,

incluidas herramientas de cdigo abierto.

Cmo doy cabida a los estilos de trabajo modernos?

A medida que se desdibujan los lmites entre la vida y el trabajo de las personas, sus personalidades y estilos de trabajo

individuales tienen un impacto cada vez mayor sobre el modo en que llevan a cabo su trabajo y las tecnologas que

prefieren utilizar. Como resultado, los usuarios quieren opinar cada vez ms sobre las tecnologas que utilizan para

completar su trabajo. Esta tendencia se denomina consumerizacin de TI. Como ejemplo de consumerizacin, cada

vez ms personas estn empezando a utilizar sus propios equipos, tabletas tctiles y telfonos en su lugar de trabajo.

La consumerizacin es fabulosa, ya que da rienda suelta a la productividad, la pasin, la innovacin y la ventaja

competitiva de los usuarios. En Microsoft creemos en la eficacia de decir s a las solicitudes tecnolgicas de los

usuarios de una manera responsable. Nuestra meta en Microsoft es asociarnos al usuario en lo que respecta a TI para

ayudarlo a adaptarse a estas tendencias y, al mismo tiempo, asegurarnos de que el entorno sea ms seguro y est

mejor administrado.



10

Windows Server 2012: Optimizacin de TI para la

nube

Optimizacin de TI para la nube con Windows Server 2012

Al optimizar TI para la nube con Windows Server 2012, aprovecha los conocimientos y la inversin que ya ha

realizado al crear una plataforma coherente y con la que ya se encuentra familiarizado. Windows Server 2012 se

basa en esa familiaridad. Con Windows Server 2012, puede aprovechar toda la experiencia de Microsoft en cuanto a

la creacin y operacin de nubes pblicas y privadas, proporcionadas como una plataforma de servidor dinmica,

disponible y rentable.

Windows Server 2012 ofrece ventajas de cuatro maneras principales:

1. Lo lleva ms all de la virtualizacin. Windows Server 2012 ofrece una infraestructura dinmica y

multiempresa que va ms all de la tecnologa de virtualizacin para brindar una plataforma completa que

le permite crear una nube privada.

2. Proporciona la eficacia de muchos servidores con la simplicidad de uno solo. Windows Server 2012 le

ofrece excelencia en materia de economa al integrar una plataforma de varios servidores altamente

disponible y fcil de administrar.

3. Abre las puertas a todas las aplicaciones en cualquier nube. Windows Server 2012 es una plataforma web

y de aplicaciones amplia, escalable y elstica que le proporciona flexibilidad para crear e implementar

aplicaciones en el entorno local, en la nube y en un entorno hbrido mediante un conjunto coherente de

herramientas y marcos.

4. Da cabida al estilo de trabajo moderno. Windows Server 2012 permite a TI ofrecer a los usuarios un

acceso flexible a los datos y las aplicaciones dondequiera que se encuentren y desde cualquier dispositivo,

al mismo tiempo que simplifica la administracin y mantiene la seguridad, el control y el cumplimiento.

Con Windows Server 2012, Microsoft ha realizado inversiones considerables en cada una de estas cuatro reas para

permitir a los clientes llevar sus operaciones del centro de datos al siguiente nivel. Ahora veamos cmo Windows

Server 2012 permite a los clientes:



11

Crear e implementar una infraestructura moderna del centro de datos

Crear y ejecutar aplicaciones modernas

Dar cabida a los estilos de trabajo modernos para sus usuarios finales



12

Desafos y necesidades de los clientes

Las organizaciones de TI evolucionan para cumplir con nuevos desafos. Por este motivo, las soluciones de identidad

y acceso de Windows Server 2012 se han mejorado para ayudar a estas organizaciones a crear soluciones que

admitan el estilo de trabajo moderno.



13

Cmo llevarlo a la prctica?



14

Resumen de escenarios



15

Acceso flexible a los datos con el control de acceso

dinmico



16

Control de acceso dinmico

El control de acceso dinmico de Windows Server 2012 automatiza el control de la informacin en los servidores de

archivos para cumplir con los requisitos empresariales y regulatorios.

Mediante la tecnologa de clasificacin de archivos del control de acceso dinmico, las organizaciones pueden

identificar o "etiquetar los archivos en sus servidores de archivos. Windows Server 2012 se basa en esta

funcionalidad para 1) controlar el acceso a los archivos etiquetados mediante directivas de acceso centralizado, 2)

auditar y notificar sobre eventos relacionados con acceso o intentos de acceso y 3) utilizar RMS para cifrar

documentos de Office de modo que permanezcan protegidos incluso si salen del servidor de archivos.

Windows Server 2012 incluye un conjunto de caractersticas que permite a los administradores de TI:

Permitir a los propietarios del contenido etiquetar su informacin, en lugar de restringir esta actividad a los

administradores.

Aplicar una directiva de acceso central a la informacin de los archivos etiquetados.

Proporcionar correccin de denegacin de acceso cuando los usuarios no pueden acceder a la informacin.

Configurar directivas de auditora central para registrar el acceso a la informacin para analizarlo con fines

forenses y de auditora.

Proteger en mayor medida informacin confidencial especfica aplicando la proteccin RMS de manera

automtica.

En las siguientes diapositivas se proporcionan ms detalles sobre estas funcionalidades.



17

Identificacin de la informacin

Las etiquetas identifican los archivos que necesitan protegerse y pueden utilizarse para agruparlos de manera

lgica. En Windows Server 2012, las etiquetas pueden aplicarse de cuatro formas diferentes:

Segn la ubicacin. Cuando un archivo se almacena en un servidor de archivos, "hereda" las etiquetas de su carpeta

primaria.

Manualmente. Los usuarios y administradores pueden etiquetar los archivos de forma manual.

Automticamente. Los archivos se pueden etiquetar automticamente segn su contenido u otras caractersticas.

O bien, las aplicaciones pueden usar distintas API para etiquetar los archivos que administran.

La funcionalidad de clasificacin automtica de archivos es extremadamente til para aplicar etiquetas a grandes

cantidades de informacin existente.



18

Notificaciones de recursos en Active Directory

Un captulo importante de la historia del control de acceso dinmico es la incorporacin de las notificaciones en

Active Directory. En el pasado, las decisiones de autorizacin se realizaban mayormente segn el usuario o la

pertenencia a grupos en AD. En Active Directory de Windows Server 2012, la posibilidad de emitir "notificaciones" se

ha convertido en una nueva opcin.

En funcin de los atributos de usuario y dispositivo dentro del directorio, se crean notificaciones que pasan a formar

parte del token que se pasa a los orgenes de autorizacin. En el caso del control de acceso dinmico, este origen de

autorizacin es un servidor de archivos. Ahora, las decisiones de acceso y autorizacin tambin se pueden realizar

en funcin de los valores de las propiedades dentro de Active Directory.

En la siguiente diapositiva, podr ver cmo se usan como parte de las reglas de acceso central



19

Reglas de acceso basadas en expresiones

Ahora que ya hemos etiquetado los archivos para su clasificacin y emitido notificaciones como parte del proceso

de inicio de sesin, podemos tener en cuenta esos dos factores y construir reglas de acceso central que puedan

distribuirse a los servidores de archivos de la organizacin para las decisiones de autorizacin. Estas directivas de

acceso central para los archivos permiten a las organizaciones implementar y administrar de manera central

directivas de autorizacin que incluyan expresiones condicionales mediante notificaciones de usuario, notificaciones

de dispositivo y propiedades de recurso (en funcin de la clasificacin de archivos).

Una regla de directiva central tiene las siguientes partes lgicas:

Aplicabilidad. Esta es una condicin que define a qu archivos se aplica la directiva, por ejemplo, aquellos que

tienen un valor empresarial alto.

Condiciones de acceso.Esta es una lista de una o varias entradas de control de acceso (ACE) que definen quin

puede acceder a los datos, por ejemplo, se permite el acceso de lectura y escritura si el usuario tiene un nivel de

autorizacin alto y usa un dispositivo administrado.



20

Directivas de acceso central

Las reglas de acceso central se pueden combinar con las directivas de acceso central, que se definen y hospedan en

Active Directory, como se muestra aqu.

Las directivas de acceso central actan como paraguas de seguridad que una organizacin aplica en todos sus

servidores. Estas directivas mejoran (pero no reemplazan) la directiva de acceso local la lista de control de acceso

discrecional (DACL) que se aplica a los archivos y las carpetas. Por ejemplo, si una DACL local en un archivo permite

el acceso a un usuario especfico, pero una directiva central aplicada al archivo restringe el acceso a ese mismo

usuario, este no podr acceder al archivo (y viceversa).

[ms informacin]

Las directivas de acceso central para los archivos permiten a las organizaciones implementar y administrar de

manera central directivas de autorizacin que incluyan expresiones condicionales mediante una combinacin de

notificaciones de usuario y notificaciones de dispositivo obtenidas a partir de atributos y propiedades de recurso

(etiquetas de archivo) de Active Directory. Las notificaciones son aserciones sobre el objeto con el que estn

asociadas y pueden combinarse en directivas lgicas para permitir un control ms especfico sobre los subconjuntos

de archivos definidos arbitrariamente. Por ejemplo, para acceder a datos de gran impacto empresarial, el usuario

debe ser un empleado a jornada completa, obtener acceso desde un dispositivo administrado e iniciar sesin con

una tarjeta inteligente.

Las diversas directivas de acceso de la organizacin se rigen por requisitos regulatorios tanto de cumplimiento

como empresariales. Por ejemplo, si un requisito empresarial de una organizacin restringe el acceso a informacin

de identificacin personal (PII) en los archivos nicamente al propietario del archivo y a los miembros del

departamento de recursos humanos con permiso para ver este tipo de informacin, se trata, en esencia, de una

directiva para toda la organizacin que se aplica a los archivos PII independientemente del lugar donde se

encuentren en los servidores de archivos de la organizacin.



21

Flujo de trabajo de la directiva de acceso central

Este diagrama muestra la estructura de la directiva de acceso central y las relaciones entre:

-Active Directory, donde se definen y almacenan las directivas,

-El servidor de archivos, donde se aplican las directivas,

-El usuario, que intenta acceder a la informacin en el servidor de archivos.

[leer la diapositiva si es necesario]



22

Ejemplos de directivas de acceso central

Las directivas de acceso central le proporcionan una enorme flexibilidad al controlar el acceso a los datos de la

organizacin. Algunos ejemplos de directivas de acceso incluyen:

-Directiva de autorizacin en toda la organizacin. Por lo general, se inicia en la oficina de seguridad de la

informacin. Esta directiva se rige por un requisito empresarial de alto nivel o por un requisito de cumplimiento y es

relevante en toda la organizacin. Por ejemplo, nicamente los empleados a jornada completa deben poder acceder

a archivos de gran impacto empresarial.

-Directiva de autorizacin departamental. Cada departamento de una organizacin tiene ciertos requisitos

especiales de control de datos que desean exigir. Por ejemplo, es posible que el departamento de finanzas desee

limitar el acceso a los servidores de finanzas nicamente a los empleados de finanzas.

-Directiva de administracin de datos especficos. Esta directiva por lo general se relaciona con los requisitos

empresariales y de cumplimiento, y su objetivo es proteger el acceso correcto a la informacin que se est

controlando, por ejemplo, impedir la modificacin o eliminacin de archivos que se encuentran bajo retencin o

bajo exhibicin de documentos electrnicos.

-Directiva de autorizacin segn sea necesario. Esta es una directiva de autorizacin de tipo comodn que suele

usarse en conjunto con los tipos de directiva mencionados anteriormente. Ejemplos:

Los proveedores solo deben poder abrir y editar archivos que pertenecen a un proyecto en el que

estn trabajando.

En las instituciones financieras, los muros informativos son importantes. De este modo, los analistas

no tienen acceso a la informacin de corretaje y los agentes de bolsa no tienen acceso a la

informacin analtica.



23

Ayuda para denegacin de acceso

Desde luego que la denegacin de acceso es solo una parte de una estrategia eficaz de control de acceso central y,

algunas veces, debe otorgarse el acceso despus de haberse denegado en un primer momento. En este caso, el

departamento de soporte o el administrador del servidor de archivos debe administrar cada excepcin de forma

manual, tarea que consume mucho tiempo. Para mitigar este problema, la correccin asistida de denegacin de

acceso de Windows Server 2012 reduce la necesidad de intervenir de forma manual, ya que proporciona tres

procesos diferentes para otorgar a los usuarios acceso a los recursos:

La correccin de denegacin de acceso de Windows Server 2012 proporciona tres procesos diferentes para otorgar

a los usuarios acceso a los recursos que necesitan:

-Autocorreccin. [ms informacin] Si los usuarios pueden determinar cul es el problema y corregirlo para obtener

el acceso solicitado, Windows Server 2012 les proporciona un mensaje de acceso denegado general creado por el

administrador del servidor, a fin de permitirles intentar corregir ellos mismos ciertos casos de acceso denegado. Este

mensaje tambin puede incluir direcciones URL para dirigir a los usuarios a los sitios web de autocorreccin

proporcionados por la organizacin.

-Correccin por parte del propietario del archivo. [ms informacin] Windows Server 2012 permite a los

administradores definir los propietarios de los recursos compartidos mediante una lista de distribucin a fin de que

los usuarios puedan conectarse directamente con ellos para solicitar el acceso. Esto es similar al modelo de

Microsoft SharePoint, en el que el propietario de los datos recibe una solicitud del usuario para obtener acceso al

archivo. En el caso del servidor de archivos, la correccin puede abarcar desde la adicin de derechos de usuario al

archivo o directorio correspondiente hasta la administracin de permisos de recursos compartidos.



24

-Correccin por parte del departamento de soporte o los administradores de servidores de archivos. [ms

informacin] Esta correccin se aplica cuando el usuario no puede corregir el problema por su cuenta y el

propietario de los datos no puede ayudarlo. Es la correccin ms lenta y costosa. Windows Server 2012 proporciona

una interfaz de usuario para ver los permisos efectivos de los usuarios en un archivo o una carpeta a fin de que sea

ms fcil solucionar los problemas de acceso.

La correccin de denegacin de acceso proporciona a un usuario acceso a un archivo cuando este se le ha

denegado inicialmente:

1. El usuario intenta leer un archivo.

2. El servidor devuelve un mensaje de error de acceso denegado porque no se han asignado al usuario las

notificaciones correspondientes.

3. En un equipo que ejecuta el sistema operativo Windows 8 Consumer Preview, Windows recupera la

informacin de acceso desde el Administrador de recursos del servidor de archivos y muestra un mensaje

con las opciones de correccin de acceso, que pueden incluir un vnculo para solicitar acceso.

4. El usuario solicita acceso al archivo.

5. Una vez que el usuario cumple con los requisitos de acceso (por ejemplo, firma un acuerdo de

confidencialidad o proporciona otro tipo de autenticacin), se actualizan sus notificaciones y puede acceder

al archivo.



25

Auditora de seguridad

Luego viene la auditora de seguridad.

La auditora es una de las herramientas ms eficaces para ayudar a mantener la seguridad de una empresa. Uno de

los objetivos principales de las auditoras de seguridad es el cumplimiento regulatorio. Por ejemplo, ciertos

estndares de la industria, como las regulaciones de la ley Sarbanes-Oxley, de HIPAA y de la industria de tarjeta de

pago (PCI), requieren que las empresas sigan un estricto conjunto de reglas relacionadas con la privacidad y

seguridad de los datos.

Las auditoras de seguridad ayudan a establecer la presencia o ausencia de este tipo de directivas y, por

consiguiente, comprobar el cumplimiento o incumplimiento de estos estndares. Adems, las auditoras de

seguridad ayudan a detectar comportamientos anormales, identificar y mitigar brechas en la directiva de seguridad

e impedir el comportamiento irresponsable mediante la creacin de una traza de actividad del usuario que puede

usarse para el anlisis forense.

Mediante el control de acceso dinmico, puede establecer directivas de auditora especficas de la organizacin,

que, al igual que las directivas de control de acceso central, se almacenan en Active Directory.

Este diagrama muestra el flujo de trabajo de la auditora de acceso a archivos y las relaciones entre:

-Active Directory, donde se crean los tipos de notificaciones y las propiedades de recurso,

-La directiva de grupo, donde se definen y almacenan las directivas de auditora,

-El servidor de archivos, donde se aplican las directivas y las propiedades de recurso,

-Y el usuario, que intenta acceder a la informacin en el servidor de archivos.

[leer la diapositiva si es necesario]



26

Ejemplos de directivas de auditora

Con Windows Server 2012, puede crear directivas de auditora mediante notificaciones y propiedades de recurso (de

forma similar al mtodo usado para las reglas de acceso central). De hecho, la metodologa es esencialmente la

misma. La diferencia principal est en si la regla se encuentra en modo de auditora o afecta a los permisos en

tiempo real. Esto da como resultado directivas de auditora ms enriquecidas, especficas y fciles de administrar. Da

lugar a escenarios que, hasta ahora, eran imposibles o muy difciles de llevar a cabo.

Esta diapositiva muestra ejemplos de directivas de auditora que pueden crear los administradores. [Ver las

directivas en la diapositiva]

Estas directivas ayudan a regular el volumen de eventos de auditora y limitarlos nicamente a los usuarios o datos

ms relevantes.



27

Proceso de cifrado basado en clasificacin

Y, finalmente, tenemos funcionalidades nuevas relacionadas con el cifrado.

Hay una gran cantidad de razones comerciales para cifrar los archivos con informacin comercial confidencial, pero

el cifrado de toda la informacin es costoso y puede causar un impacto negativo en la productividad de la empresa.

Esto significa que las organizaciones tienden a utilizar diferentes enfoques y priorizar diferentes aspectos a la hora

de cifrar su informacin.

Para solucionar este problema, Windows Server 2012 ofrece la posibilidad de cifrar automticamente los archivos de

Microsoft Office confidenciales segn su clasificacin. Esto se lleva a cabo mediante tareas de administracin de

archivo que invocan la proteccin AD RMS para los documentos de Office confidenciales unos pocos segundos

despus de que el archivo se identifica como confidencial en el servidor de archivos.

El cifrado RMS proporciona otro nivel de proteccin para los archivos. Incluso si una persona con acceso a un

archivo confidencial lo enva accidentalmente por correo electrnico, el archivo contina protegido por el cifrado

RMS. Cualquier usuario que desee acceder a este primero deber autenticarse en un servidor RMS para recibir la

clave de descifrado.

Este escenario requiere una implementacin previa de RMS.

[Explicar el escenario citado]



28

Control de acceso dinmico: ventajas

El control de acceso dinmico de Windows Server 2012 proporciona a las organizaciones nuevas formas de

controlar el acceso a la informacin y de lograr el cumplimiento de las regulaciones. Las organizaciones

pueden clasificar los datos no estructurados de sus servidores de archivos y, posteriormente, aplicar el

control de la informacin en funcin de esta clasificacin mediante controles de auditora y acceso de

ltima generacin, as como a travs del cifrado basado en clasificacin.

Identificar datos: la clasificacin automtica y manual de los archivos puede aplicarse a los datos de

las etiquetas en los servidores de archivos de toda la organizacin

Controlar el acceso a los archivos: las directivas de acceso central permiten a las organizaciones

aplicar directivas de red de seguridad para el control de la informacin

Auditar el acceso a los archivos: directivas de auditora para la elaboracin de informes de

cumplimiento y el anlisis forense

Aplicar el cifrado RMS: cifrado RMS automtico para los documentos de Office confidenciales para

reducir la fuga de informacin



29

Demostracin

Rellene el ttulo de la demostracin segn la demostracin que planee presentar. Si no planea presentar

demostraciones, oculte esta diapositiva.

Las demostraciones click-through se encuentran (o se encontrarn) en \\scdemostore01\demostore\Windows

Server 2012\WS 2012 Demo Series\Click Thru Demos\Identity and Access

Las instrucciones para la compilacin de un entorno de demostracin se encuentran aqu:

\\scdemostore01\demostore\Windows Server 2012\WS 2012 Demo Series\Demo Builds



30

Active Directory para la nube



31

Virtualizacin ms segura de controladores de

dominio

Las mquinas virtuales se pueden revertir a un estado anterior cuando se aplican instantneas, pero los relojes de

los controladores de dominio suponen que el tiempo siempre avanza. Si un administrador aplica una instantnea a

un controlador de dominio virtual por accidente, puede ocasionar que este cree entidades de seguridad con la

misma marca de tiempo que los que ya existen en el dominio, en otras palabras, entidades de seguridad duplicadas.

Esto tambin puede suceder si se copia un controlador de dominio virtual dentro del dominio.

En Windows Server 2012, un controlador de dominio virtual puede detectar cundo se aplican instantneas o se

copia una mquina virtual, gracias a un identificador nico expuesto por el hipervisor que se denomina

GenerationID de mquina virtual. Este GenerationID de mquina virtual cambia cuando la mquina virtual

experimenta un evento que afecta a su posicin en el tiempo. El GenerationID de mquina virtual se expone en el

espacio de direcciones de la mquina virtual dentro de su BIOS y se pone a disposicin de su sistema operativo y

sus aplicaciones a travs de un controlador de Windows Server 2012.

Durante el arranque y antes de completar cualquier transaccin, un controlador de dominio virtual de Windows

Server 2012 compara el valor actual del GenerationID de mquina virtual con el valor almacenado en el directorio.

Un error de coincidencia se interpreta como un evento de reversin, lo que causa que el controlador de dominio

converja con otros controladores de dominio para impedir que cree entidades de seguridad duplicadas.

Para que los controladores de dominio virtuales de Windows Server 2012 obtengan este nivel de proteccin

adicional, el controlador de dominio virtual debe hospedarse en un hipervisor con reconocimiento de GenerationID

de mquina virtual, como Hyper-V de Windows Server 2012.



32

Clonacin de controladores de dominio virtuales

Muchos de los controladores de dominio del mismo dominio o bosque son virtualmente idnticos, por lo que los

controladores de dominio virtuales son buenos candidatos para la clonacin. De todos modos, hasta ahora el

proceso de implementacin de un controlador de dominio virtual implicaba muchos pasos redundantes:

1. Preparar e implementar la imagen de servidor de Sysprep.

2. Promover manualmente un controlador de dominio de una de las siguientes maneras:

A travs del cable. Puede ser lento en funcin del tamao del directorio.

Instalar desde el medio (IFM). La preparacin y copia del medio aade tiempo y complejidad.

1. Realizar pasos de configuracin posteriores a la implementacin cuando corresponde.

Con Windows Server 2012 esto ha cambiado y los controladores de dominio virtuales pueden clonarse. Con el

nuevo asistente para implementar controladores de dominio del Administrador del servidor, puede promover un

solo controlador de dominio virtual y, a continuacin, implementar rpidamente todos los controladores de

dominio virtuales adicionales, dentro del mismo dominio, mediante la clonacin.

[Ms informacin]

El proceso de clonacin implica la creacin de una copia de un controlador de dominio virtual existente, la

autorizacin del controlador de dominio de origen para clonarse en AD DS y la creacin de un archivo de

configuracin, el cual puede contener instrucciones de promocin detalladas (nombre, direccin IP, servidores del

Sistema de nombres de dominio [DNS], etc.) o dejarse vaco para permitir que el sistema rellene los espacios

automticamente. Esto reduce radicalmente el tiempo y la cantidad de pasos involucrados, ya que elimina las tareas

de implementacin repetitivas y, adems, le permite implementar completamente los controladores de dominio

adicionales que el administrador de dominio de Active Directory autoriz y configur para su clonacin.



33

Asistente para implementar controladores de dominio

Se ha comprobado que la adicin de controladores de dominio de rplica que ejecutan versiones ms recientes del

sistema operativo Windows Server es:

-Lenta

-Propensa a errores

-Compleja

Por ejemplo, en el pasado, los profesionales de TI deban hacer lo siguiente:

-Obtener la versin (nueva) correcta de las herramientas ADprep.

-Iniciar sesin de manera interactiva en controladores de dominio por dominio especficos mediante una gran

variedad de credenciales diferentes.

-Ejecutar la herramienta de preparacin en la secuencia correcta con los modificadores correctos.

-Esperar la convergencia de la replicacin entre cada paso.

El asistente para implementar AD DS de Windows Server 2012 integra todos estos pasos para implementar los

controladores de dominio nuevos en una sola interfaz grfica. Solo requiere una credencial del nivel de empresa y



34

puede preparar el bosque o el dominio apuntando remotamente a los contenedores de roles del maestro de

operaciones correspondientes.

El asistente viene integrado en el Administrador del servidor y se basa en Windows PowerShell. Puede apuntar a

varios servidores e implementar controladores de dominio de forma remota, lo que hace que la experiencia de

implementacin sea ms simple, coherente y rpida.



35

Caractersticas del asistente para la implementacin

El nuevo asistente para promover controladores de dominio:

Adprep.exe est integrado en el proceso de instalacin de los Servicios de dominio de Active

Directory. Esto reduce el tiempo de instalacin de AD DS y disminuye la posibilidad de que se

produzcan errores que pueden bloquear la promocin de controladores de dominio.

Admite la implementacin remota. El asistente est integrado en Windows PowerShell y puede

ejecutarse de forma remota en varios servidores. Esto reduce enormemente la posibilidad de que se

produzcan errores administrativos y el tiempo general necesario para la instalacin, especialmente

al implementar varios controladores de dominio en dominios y regiones globales.

Valida los requisitos previos de todo el entorno antes de comenzar con la implementacin. La

validacin de requisitos previos se lleva a cabo dentro del asistente, de este modo, se identifican los

posibles errores antes de que comience la implementacin. Se pueden corregir las condiciones de

error antes de que estos se produzcan y, as, evitar las preocupaciones que surgen de una

actualizacin completada parcialmente.

Se adapta a los escenarios de implementacin comunes. Las pginas de configuracin se

agrupan en una secuencia que refleja las opciones de promocin ms comunes. Las opciones

relacionadas se agrupan en una menor cantidad de pginas del asistente. Esto proporciona un

mejor contexto para elegir las opciones de la instalacin y reduce la cantidad de pasos y el tiempo

necesario para completar la implementacin de controladores de dominio.

Est integrado en el Administrador del servidor y utiliza Windows PowerShell para lograr una

coherencia de interfaz de usuario y de la lnea de comandos. El asistente puede exportar un

script de Windows PowerShell que contenga todas las opciones especificadas durante la

implementacin para simplificar el proceso de automatizacin de las implementaciones

subsiguientes con scripts.



36

Visor del historial de Windows PowerShell

En Windows Server 2012, el visor del historial de Windows PowerShell en el Centro de administracin de

Active Directory permite a los administradores ver los comandos de Windows PowerShell mientras se ejecutan en

tiempo real. Por ejemplo, al crear una nueva directiva de contraseas muy especfica, el Centro de administracin de

Active Directory muestra los comandos de Windows PowerShell equivalentes en el panel de tareas del visor del

historial de Windows PowerShell. Puede usar esos comandos para crear un script de Windows PowerShell para

automatizar la tarea.

Mediante la combinacin de scripts con tareas administradas, puede automatizar completamente las tareas

administrativas cotidianas que anteriormente se completaban de forma manual. Los cmdlets y la sintaxis necesaria

se crean automticamente, por lo que se requiere muy poca experiencia con Windows PowerShell. Puesto que los

comandos de Windows PowerShell son los mismos que los que ejecuta el Centro de administracin de

Active Directory, funcionan tal como lo espera el usuario.

Esto implica muchas ventajas diferentes, particularmente para los nuevos usuarios de PowerShell. [Ver las vietas en

la diapositiva si es necesario]



37

Activacin basada en Active Directory

En la actualidad, el programa de licencias por volumen de Windows y Office tiene varias caractersticas que imponen

una carga en los administradores:

-Requiere servidores del Servicio de administracin de claves (KMS).

-Requiere trfico RPC en la red, incluso cuando algunas organizaciones desean desactivar este tipo de trfico.

-No admite ningn tipo de autenticacin porque los trminos de licencia prohben que el cliente conecte el servidor

KMS con cualquier acceso de red externo.

-Y requiere cierto aprendizaje, ya que no hay GUI y la solucin llave en mano solo abarca alrededor del 90 por

ciento de las implementaciones.

En definitiva, el proceso es ms complicado, restrictivo y laborioso de lo necesario. Esta situacin se ha mejorado en

Windows Server 2012 al utilizar Active Directory para ayudarlo a activar sus clientes.

No se necesitan mquinas adicionales

No se requieren llamadas a procedimiento remoto (RPC); se utiliza exclusivamente el protocolo ligero de

acceso a directorios (LDAP)

Incluye controladores de dominio de solo lectura (RODC)

La activacin de la CSVLK (clave de licencia por volumen especfica de cliente) inicial requiere lo siguiente:

nico contacto con los servicios de activacin de Microsoft a travs de Internet (igual a la activacin

comercial)

Especificacin de clave mediante la lnea de comandos o el rol del servidor de activacin de

volumen

Repeticin del proceso de activacin para bosques adicionales hasta seis veces de manera

predeterminada

Objeto de activacin

Representa la prueba de compra

Las mquinas pueden pertenecer a cualquier dominio del bosque



38

Administracin de cuentas de servicio para grupos de

servidores

Las cuentas de servicio administradas (MSA) son un nuevo tipo de cuenta incorporado en Windows

Server 2008 R2 y Windows 7. Gracias a ellas, los administradores ya no necesitan administrar manualmente los

nombres de entidad de seguridad de servicio (SPN) y las credenciales para las cuentas de servicio del nivel de

domino. Hasta ahora, sin embargo, esta caracterstica no se encontraba disponible para los grupos de servidores,

como clsteres, que comparten su identidad y SPN.

Con las MSA de grupo, los servicios o administradores de servicios no tienen que administrar la sincronizacin de

contraseas entre instancias de servicio. Las MSA de grupo admiten el restablecimiento de contraseas, los hosts

que se mantienen sin conexin por un perodo de tiempo y la administracin sin problemas de grupos host

miembros para todas las instancias de un servicio.

[ms informacin]

Los administradores pueden implementar clsteres o granjas de servidores de identidad nica en Windows

Server 2012, en los cuales los clientes del dominio pueden autenticarse sin saber a qu instancia de un

clster o granja de servidores se estn conectando

Los administradores pueden configurar servicios con el Administrador de control de servicios para usar una

identidad de dominio compartida que administre las contraseas automticamente

Una vez creada la MSA de grupo, el administrador del dominio puede delegar la administracin de esta

cuenta a un administrador de servicios

Las organizaciones pueden implementar clsteres o granjas de servidores de identidad nica en servidores

que ejecutan Windows 8 Consumer Preview para las identidades en dominios de modo mixto



39

Servicios de dominio de Active Directory: ventajas

Servicios de dominio de Active Directory de Windows Server 2012 reduce las complejidades y los requisitos de

tiempo asociados con la implementacin de controladores de dominio, incorpora medidas de seguridad que

permiten a los controladores de dominio obtener un nivel adicional de proteccin en entornos virtualizados,

proporciona una experiencia de administracin simplificada y ms intuitiva y coherente a travs de la interfaz de

usuario de Windows PowerShell y expande la funcionalidad de Active Directory para mejorar la activacin de

escritorio y agregar administracin de cuentas de servicio de grupo.



40

Demostracin









41

Acceso remoto sin problemas con DirectAccess



42

Acceso remoto integrado

DirectAccess se incorpor en Windows 7 y Windows Server 2008 R2 para permitir a los usuarios remotos acceder

de manera ms segura a recursos compartidos, sitios web y aplicaciones en una red interna sin necesidad de

conectarse a una VPN. DirectAccess establece una conectividad bidireccional con una red interna cada vez que un

equipo habilitado para DirectAccess se conecta a Internet. Los usuarios no tienen que pensar en cmo conectarse a

la red interna y los administradores de TI pueden administrar equipos remotos que se encuentran fuera de la

oficina, incluso si estos equipos no estn conectados a la VPN.

Acceso remoto integrado

Con Windows Server 2012, DirectAccess y VPN pueden configurarse juntos en la consola de administracin de

acceso remoto mediante un solo asistente. Otras caractersticas de los Servicios de enrutamiento y acceso remoto

(RRAS) se pueden configurar mediante la consola de administracin de RRAS heredada. El nuevo rol permite una

migracin ms sencilla de las implementaciones de RRAS y DirectAccess de Windows 7 y proporciona varias

caractersticas y mejoras nuevas.

[Diapositiva siguiente]



43

Novedades de Windows Server 2012

Windows Server 2012 mejora y simplifica DirectAccess a travs de una facilidad de uso mejorada, una

implementacin sencilla, escalabilidad y rendimiento mejorados, y compatibilidad con nuevos escenarios.



44

Conectividad entre entornos

Windows Server 2012 proporciona un sistema operativo altamente optimizado para la nube. La funcionalidad VPN

de sitio a sitio en acceso remoto proporciona conectividad entre entornos entre empresas y proveedores de

servicios de hospedaje. La conectividad entre entornos permite a las empresas conectarse a subredes privadas en

una red de nube hospedada. Tambin permite la conectividad entre ubicaciones empresariales separadas

geogrficamente. Con la conectividad entre entornos, las empresas pueden usar sus equipos de red existentes para

conectarse a proveedores de hospedaje mediante el protocolo IKEv2-IPsec (Intercambio de claves por red versin

2/protocolo de seguridad de Internet) estndar de la industria.

En el ejemplo de esta diapositiva, ocurre lo siguiente:

1. Contoso.com y Woodgrove.com descargan parte de la infraestructura de su empresa en una nube

hospedada.

2. El proveedor de hospedaje proporciona nubes privadas para cada organizacin.

3. En la nube hospedada, las mquinas virtuales que ejecutan Windows Server 2012 estn configuradas como

servidores de acceso remoto que ejecutan VPN de sitio a sitio.

4. En cada nube privada hospedada, se implementa un clster de dos o ms servidores de acceso remoto para

proporcionar alta disponibilidad y conmutacin por error.

5. Contoso.com tiene dos ubicaciones de sucursales. En cada una de ellas, se implementa un servidor de

acceso remoto de Windows Server 2012 para proporcionar una conexin de conectividad entre entornos

para la nube hospedada y entre las sucursales.

6. Los equipos de las sucursales de Contoso.com que ejecutan el rol de servidor de acceso remoto unificado

en Windows Server 2012 tambin se configuran como servidores de DirectAccess en una implementacin

multisitio. Los clientes de DirectAccess pueden acceder de manera ms segura a cualquier recurso de la

nube pblica de Contoso.com o de las sucursales de Contoso.com desde cualquier ubicacin en Internet.

7. Woodgrove.com puede usar los enrutadores existentes para conectarse a la nube hospedada porque la

funcionalidad entre entornos de Windows Server 2012 cumple con los estndares IKEv2 e IPsec.



45

Experiencia de administracin mejorada

Mediante la nueva consola de administracin de acceso remoto, puede configurar, administrar y supervisar varios

servidores de acceso remoto VPN y de DirectAccess en una sola ubicacin. La consola proporciona un panel que le

permite ver informacin sobre la actividad del servidor y del cliente. Tambin puede generar informes para obtener

informacin adicional ms detallada. El estado de las operaciones proporciona informacin de supervisin

exhaustiva sobre componentes de servidor especficos. Los registros y el seguimiento de eventos ayudan a

diagnosticar problemas especficos. Mediante la supervisin de cliente, puede obtener vistas detalladas de los

equipos y usuarios conectados e incluso puede supervisar los recursos a los que estn accediendo los clientes. Los

datos de contabilidad se pueden registrar en una base de datos local o en un servidor del Servicio de autenticacin

remota telefnica de usuario (RADIUS).

Adems de la consola de administracin de acceso remoto, puede usar los scripts automatizados y las herramientas

de la interfaz de la lnea de comandos de Windows PowerShell para la instalacin, configuracin, administracin,

supervisin y solucin de problemas de acceso remoto.

En los equipos cliente, los usuarios pueden acceder a la aplicacin del Asistente para la conectividad de red,

integrada con el Administrador de conexiones de red de Windows, para obtener una vista concisa del estado de

conexin de DirectAccess y vnculos a recursos de ayuda corporativos, herramientas de diagnstico e informacin

de solucin de problemas. Los usuarios tambin pueden especificar credenciales de contrasea de un solo uso

(OTP) si est configurada la autenticacin OTP para DirectAccess.



46

Implementacin sencilla

El diseo de instalacin y configuracin mejorado de Windows Server 2012 le permite configurar una

implementacin funcional rpida y fcilmente sin realizar cambios en la infraestructura de red interna. En las

implementaciones simples, puede configurar DirectAccess sin necesidad de configurar una infraestructura de

certificados. Los clientes de DirectAccess ahora pueden autenticarse por su cuenta solo con credenciales de Active

Directory, ya que no se requieren certificados de equipo. Adems, puede elegir usar un certificado autofirmado

creado automticamente por DirectAccess para IP-HTTPS y para la autenticacin del servidor de ubicacin de red.

Para simplificar an ms la implementacin, DirectAccess de Windows Server 2012 admite el acceso a los servidores

internos que ejecutan solo IPv4. No se requiere una infraestructura IPv6 para la implementacin de DirectAccess.



47

Mejoras en la escalabilidad

El acceso remoto ofrece varias mejoras en la escalabilidad, incluida la compatibilidad con una mayor cantidad de

usuarios con un mejor rendimiento y costos ms bajos:

Puede agrupar varios servidores de acceso remoto en clster para obtener equilibrio de carga, alta

disponibilidad y conmutacin por error. La carga del trfico del clster puede equilibrarse mediante el uso

del equilibrio de carga de red (NLB) de Windows o un equilibrador de carga de terceros. Se pueden agregar

servidores al clster, o quitarse de este, sin que se interrumpan las conexiones en curso.

El rol de servidor de acceso remoto aprovecha la virtualizacin de E/S de raz nica (SR-IOV) para obtener

un rendimiento de E/S mejorado al ejecutarse en una mquina virtual. Adems, el acceso remoto mejora la

escalabilidad general del host de servidor gracias a la compatibilidad con funcionalidades de descarga de

hardware de IPsec disponibles en muchas tarjetas de interfaz de servidor que llevan a cabo el cifrado y

descifrado de paquetes en el hardware.

Las mejoras de la optimizacin en IP-HTTPS usan el cifrado que proporciona IPsec. Esta optimizacin,

combinada con la eliminacin del requisito de cifrado de Capa de sockets seguros (SSL), incrementa la

escalabilidad y el rendimiento.



48

Escenarios de implementacin nuevos y mejorados

El acceso remoto de Windows Server 2012 incluye mejoras adicionales, incluida la implementacin integrada para

varios escenarios que requeran configuracin manual en Windows Server 2008 R2.

Estas mejoras incluyen el tnel forzado (que enva todo el trfico a travs de la conexin de DirectAccess),

compatibilidad con Proteccin de acceso a redes (NAP), la capacidad de localizar el servidor de acceso remoto ms

cercano de clientes de DirectAccess que se encuentran en diferentes ubicaciones geogrficas y la implementacin

de DirectAccess solo para la administracin remota.

Con Windows Server 2012, ahora puede configurar un servidor de DirectAccess con dos adaptadores de red en el

permetro de la red o detrs de un dispositivo perimetral, o bien un solo adaptador de red en ejecucin detrs de

un firewall o dispositivo NAT. La posibilidad de usar un solo adaptador elimina la necesidad de tener direcciones

IPv4 pblicas dedicadas para la implementacin de DirectAccess. Con esta configuracin, los clientes se conectan al

servidor de DirectAccess mediante IP-HTTPS.

Los servidores de acceso remoto pueden configurarse en una implementacin multisitio que permita a los usuarios

que se encuentran en ubicaciones geogrficas dispersas conectarse a un punto de entrada multisitio cercano. El

trfico a travs de la implementacin multisitio se puede distribuir y equilibrar con un equilibrador de carga global

externo. Para admitir la tolerancia a errores, la redundancia y la escalabilidad, los servidores de DirectAccess ahora

se pueden implementar en una configuracin de clster mediante un equilibrador de carga de Windows o un

equilibrador de carga de hardware externo.

DirectAccess en Windows Server 2012 agrega compatibilidad con la autenticacin en dos fases mediante una OTP.

Para la autenticacin de tarjeta inteligente en dos fases, Windows Server 2012 admite el uso de las funcionalidades

de tarjeta inteligente virtual basada en el Mdulo de plataforma segura (TPM) disponibles en Windows 8. El TPM de

los equipos cliente puede actuar como tarjeta inteligente virtual para la autenticacin en dos fases, lo que elimina

los costos y la sobrecarga involucrados en la implementacin de tarjeta inteligente.

Windows Server 2012 incorpora la capacidad de los equipos para unirse a un dominio de Active Directory y recibir la

configuracin de dominio de forma remota a travs de Internet. Esta funcionalidad permite una implementacin



49

sencilla de equipos nuevos en oficinas remotas y el aprovisionamiento de la configuracin de cliente a los clientes

de DirectAccess.

.



50

Demostracin









51

Puesta en marcha



52

Caractersticas principales para responder los desafos

En resumen:

En las implementaciones IaaS, la seguridad, la identidad y el control de los activos son reas que requieren atencin

especial por parte de los administradores de TI, particularmente al migrar a entornos de nube pblica o privada

virtualizados.

Windows Server 2012 facilita esas tareas, ya que proporciona caractersticas nuevas y mejoradas simples, pero

exhaustivas, entre las que se incluyen las siguientes:

Control de acceso dinmico, para una seguridad flexible, inteligente y auditable,

Mejoras en los Servicios de dominio de Active Directory para una implementacin y administracin ms

sencilla en entornos virtuales,

Y mejoras en DirectAccess para admitir implementaciones ms flexibles, un rendimiento ms alto y la

experiencia del cliente

Gracias!



53

Obtener la evaluacin, la certificacin y material de

aprendizaj



54

1423.ws 2012 deck_ identity and access

Documents

marca de microsoft corporation

presente documento

tipo depropiedad intelectual

marcas registradas

derechos derivados

manual authors

direccin de correo electrnico

identity and access