Este sitio Web utiliza cookies propias y de terceros para realizar el análisis de navegación de los usuarios. Si continua navegando acepta el uso de cookies. Este sitio web es propiedad de Sidertia Solutions S.L., empresa responsable de su mantenimiento. Haga clic aquí para obtener más información acerca de nuestra política de Cookies.
Aceptar
es-ESen-US



BLOG DE SIDERTIA

Windows Server 2016. Novedades en seguridad y Servicios de red

Escrito por Daniel Calle - 13 June 2017

Continuando con las novedades que nos ofrece el nuevo sistema operativo de Microsoft, Windows Server 2016, en este artículo trataremos de acercaros las principales novedades que nos ofrece Microsoft en cuanto a la seguridad y servicios de red en Windows Server 2016.

Novedades en seguridad

Tal y como indica Microsoft, una buena seguridad comienza en el sistema operativo, y bajo esta premisa, se ha construido el nuevo sistema operativo Windows Server 2016.

Windows Server 2016 incluye nuevas herramientas integradas para contrarrestar las posibles vulnerabilidades de seguridad, permitiendo frustrar ataques en sus sistemas. Además, en caso de que un usuario no autorizado lograse entrar en su infraestructura, las nuevas capas de seguridad, que se integran en el nuevo sistema operativo, limitarán los daños que pueden causar y ayudarán a detectar las actividades sospechosas.

El coste producido por las infracciones de seguridad continúa aumentando cada año, y la media actual es de 4 millones de dólares por cada incidente, como se indica en un estudio realizado por IBM (Cost of Data Breach Study, IBM, Ponemon).

Una de las principales novedades en cuanto a la seguridad es la característica exclusiva de Microsoft denominada “Máquinas virtuales blindadas”, que permite cifrar las máquinas virtuales con BitLocker y asegurarse con ello que se ejecutan sólo en hosts autorizados por el Servicio de protección de host.

Las máquinas virtuales blindadas protegen los datos y el estado de la máquina virtual contra el robo y la manipulación de privilegios de administrador. Las máquinas virtuales blindadas funcionan con las máquinas virtuales de generación 2, que proporcionan el arranque seguro necesario, el firmware UEFI y el soporte virtual TPM (vTPM) 2.0. El host de Hyper-V debe ejecutar Windows Server 2016, y el sistema operativo invitado alojado en la máquina virtual debe ser Windows Server 2012 o superior

Las máquinas virtuales blindadas ofrecen los siguientes beneficios:

  • Los discos están cifrados con BitLocker.
  • El proceso de trabajo de las máquinas virtuales se encuentra fortalecido ayudando a prevenir una posible manipulación. (VMWP)
  • Encriptación automática del tráfico generado al realizar una migración en vivo, así como el cifrado de su archivo de su estado de ejecución, estado guardado, puntos de verificación e incluso archivos de réplica de Hyper-V.
  • Bloqueo de PowerShell direct, y acceso mediante consola.

Otra nueva característica de Windows Server 2016 es el entorno protegido que se conoce como Virtual Secure Mode (VSM), utilizado por una serie de componentes, incluyendo la protección de credenciales. Virtual Secure Mode es un entorno de ejecución seguro donde se mantienen claves y procesos críticos de seguridad. Se ejecutan como Trustlets en una partición virtualizada segura.

No hay que confundirlo con una máquina virtual de Hyper-V, sino que es más parecido a un pequeño contenedor o caja virtual que está protegida por tecnologías basadas en la virtualización como SLAT e IOMMU, las cuales ayudan a proteger la memoria y los ataques DMA, entre otros. El sistema operativo Windows, incluso el kernel, no tiene acceso a VSM. Sólo los procesos de lista blanca (trustlets), que están firmados por Microsoft, pueden cruzar el "puente" para acceder a VSM.

Otras novedades en seguridad a destacar son:

  • Just Enough Administration está basada en la posibilidad de conceder permisos granulares a las cuentas de usuarios para limitar sus acciones a las estrictamente necesarias. También es posible reducir el número de administradores de las maquinas con la ayuda de las cuentas virtuales o cuentas de servicio que realizan acciones con privilegios en nombre de usuarios normales.
  • Just in Time Administration permite limitar el tiempo de duración de los privilegios concedidos, evitando con ello que existan usuarios con privilegios administrativos que se olviden con el paso del tiempo que fueron concedidos.
  • Credential Guard utiliza la seguridad basada en la virtualización para aislar las claves de usuario para que únicamente el software del sistema con privilegios pueda acceder a ellos. El acceso no autorizado a estos datos puede desencadenar en la sustracción de información con ataques como “Pass-the-Hash” o “Pass-The-Ticket”. Credential Guard frena estos ataques mediante la protección de hash de contraseña NTLM y vales de concesión de vales de Kerberos.
  • Credential Guard remoto ofrece un inicio de sesión único para las sesiones de escritorio remoto (RDP), redirigiendo las solicitudes de Kerberos al dispositivo que está solicitando la conexión. lo que elimina la necesidad de pasar credenciales al host de RDP.
  • Device Guard es una combinación de características de seguridad de hardware y software que, configuradas conjuntamente, bloquean un dispositivo para que solo pueda ejecutar aplicaciones de confianza que se define en la integridad de código. Si la aplicación no es de confianza, no se podrá ejecutar.
  • Control Flow Guard (CFG) es una característica de seguridad de plataforma optimizada para combatir vulnerabilidades de corrupción de memoria.
  • La protección de flujo de control es otra característica de seguridad que viene configurado de forma nativa para bloquear vectores de ataque comunes.
  • Windows Defender ayuda a protegerse frente a vulnerabilidades desconocidas sin que ello afecte a los roles de servidor. Windows Defender no es una novedad como tal, pero para los usuarios que desconozcan esta característica, Windows Defender es una protección activa contra malware conocido y actualiza las definiciones de antimalware mediante Windows Update. Windows Defender está instalado de manera predeterminada, y funcional en Windows Server 2016.

A continuación, se muestra una tabla comparativa de las características de seguridad en comparación con las versiones anteriores de Windows Server.

Novedades en servicios de red

Las funciones de red son una parte fundamental de la plataforma de Software definido Datacenter (SDDC) y en Windows Server 2016 se proporcionan nuevas y mejoradas tecnologías de redes definidas por software (SDN) para proporcionar una solución SDDC completamente personalizada para la empresa.

A continuación, se detallan las nuevas o mejoradas características de red:

  • El controlador de red es una novedad en Windows Server 2016 que proporciona un punto centralizado, programable de la automatización para administrar, configurar, supervisar y solucionar problemas de infraestructura de red físicas y virtuales en el centro de datos.
  • La virtualización de las funciones de red (NFV). El objetivo de NFV es disgregar las funciones de red de dispositivos de hardware y permitir que los servicios de red que ahora son llevados a cabo por routers, firewalls, balanceadores de carga y otros dispositivos de hardware dedicado sean hospedados en máquinas virtuales (VM). Las siguientes tecnologías NFV están disponibles en Windows Server 2016.

o   Datacenter Firewall. Cuando se implementa y ofrece como un servicio por el proveedor de servicios, los administradores pueden instalar y configurar las directivas de firewall para ayudar a proteger sus redes virtuales de tráfico no deseado que se origina desde Internet y redes de intranet.

o   Puerta de enlace RAS. Es un protocolo de puerta de enlace de borde (BGP) basado en software, compatible con el enrutador de Windows Server 2016 y que se encuentra diseñada para proveedores de servicios de nube (CSP) y las empresas que alojan varias redes virtuales usando la virtualización de Hyper-V. En Windows Server 2016, la puerta de enlace de RAS enruta el tráfico de la red entre la interface de red física y los recursos de red de las máquinas virtuales, con independencia de dónde se encuentren los recursos. Es posible usar la puerta de enlace RAS para enrutar el tráfico de red entre las redes físicas y virtuales en la misma ubicación física o en varias ubicaciones físicas diferentes en Internet.

o   Equilibrador de carga por software (SLB). Es usado para distribuir uniformemente el tráfico de red entre los recursos virtuales.

  • Tecnologías de encapsulaciónflexible. Es otra de las características incluidas con el conmutador de red, esta tecnología de encapsulación funciona en el plano de datos y admiten LAN Extensible Virtual (VxLAN) y la virtualización de red para la encapsulación de enrutamiento genérico (NVGRE) como mecanismo para virtualizar la dirección IP.

En Windows Server 2016 el rol de servidor DHCP ya no admite NAP, la compatibilidad con NAP se introdujo en el rol de servidor DHCP con Windows Server 2008 y se admite en sistemas operativos anteriores a Windows 10 y Windows Server 2016 del cliente y servidor del Windows. En Windows Server 2016, servidores DHCP no aplica directivas NAP y ámbitos DHCP no pueden estar habilitado para NAP.

En Windows Server 2016, el servidor DNS ofrece compatibilidad mejorada en las siguientes áreas. Es posible usar la directiva de DNS para la ubicación geográfica a través de la administración del tráfico, las respuestas de DNS inteligentes en función de la hora, o la aplicación de filtros en las consultas DNS entre otras características.

También es posible configurar RRL para administrar la respuesta a las solicitudes de un cliente DNS cuando el servidor recibe varias solicitudes de selección del destino al mismo cliente.

En Windows Server 2016, se han mejorado las funcionalidades IPAM para arquitecturas como el control de subredes /32 IPv4 y IPv6 /128 y encontrar subredes con direcciones IP e intervalos en un bloque de direcciones IP, además, es posible usar IPAM para administrar los servidores DNS y DHCP de varios bosques de Active Directory cuando existe entre ellos una relación de confianza bidireccional entre el bosque donde se encuentra implementado IPAM.

Con NPS en Windows Server 2016 estándar es posible configurar un máximo de 50 clientes RADIUS y un máximo de 2 grupos de servidores RADIUS remotos, mientras que con la edición Datacenter es posible configurar un número ilimitado de clientes RADIUS y grupos de servidores RADIUS remotos.

Otros artículos relacionados con Windows Server 2016:

Windows Server 2016. Introducción.

Windows Server 2016. Novedades en directorio activo.

Windows Server 2016. Novedades en almacenamiento

%MCEPASTEBIN%

Escribe tu comentario


NUESTRO PORTAFOLIO DE SERVICIOS

  • Consultoría Consultoría

    Servicios de consultoría especializada de la mano de profesionales altamente cualificados.

  • Formación Formación

    Reciba formación experta de calidad ajustada a sus necesidades.

  • Seguridad Seguridad TIC

    Sidertia Solutions le ayuda a implementar y mantener su modelo de seguridad.

  • Desarrollo Desarrollo

    Soluciones de desarrollo seguro para su empresa.


  • Microsoft Silver Partner
  • Citrix Silver Partner
  • Dell Partner Registered