martes, 13 de enero de 2009

Windows 2008: Parte 1

Últimamente estoy poniéndome las pilas con Windows 2008 y Exchange 2007. Los nuevos proyectos los estoy montando ya en estas plataformas. Con respecto a Windows 2008, me gustaría destacar las cosas que me han gustado (en verde) y las que tienen que mejorar (en rojo). Después le tocará a Exchange 2007. Evidentemente, todo esto es sobre el papel. Cuando todo lleve un tiempo en producción ya se verá si funciona sin problemas o acaba siendo una película de miedo, pero de momento apunta muy bien.

El hecho de que no se instale nada por defecto es bueno desde el punto de vista de la seguridad. Reducción al mínimo imprescindible de la superficie de ataque. Los atacantes casi siempre utilizan funcionalidades semiocultas, como el cliente ftp o tftp, para ejecutar el malware. No instalándolas simplificamos la securización del servidor.

El no tener que copiar el i386, pues todos los archivos CAB ya se preinstalan en el disco duro (ahora se llaman imágenes WIM y están en la carpeta c:\Windows\winsxs, que NO SE PUEDE ELIMINAR) es muy práctico para la configuración inicial del servidor y los posteriores cambios que tengamos que hacer. Por el contrario, ocupan bastante espacio en el disco duro y nos dan una tarea extra de tener que parchear todos los WIM cada vez que parcheemos el sistema operativo. Si no, si en el futuro tenemos que añadir un Rol o Característica nueva a nuestro sistema, lo estaremos haciendo desde una imagen obsoleta del sistema operativo.

La integración con IP v6 es total, hasta el punto de que al instalar el servidor nos dirá que no tiene IP estática, aunque le hayamos puesto una IPv4. Es por la IPv6, que por defecto no la tendrá estática. Se puede ignorar el error y seguir. Se pueden crear Zonas de resolución Directas e Inversas para IPv6 y se permiten actualizaciones dinámicas de las mismas, aunque sólo en un entorno de Active Directory con autenticación Kerberos.

Los Controladores de Dominio de sólo lectura (RODC). Básicamente, son Controladores de Dominio que no pueden ser origen de replicación. Funcionalidad interesante para sedes remotas que necesiten un DC, pero éste no esté debidamente securizado y no haya administrador local. También podemos hacer que sólo se repliquen las contraseñas de los usuarios de esa sede. Así, si nos comprometen el servidor y se llevan los archivos de AD para un ataque de fuerza bruta, sólo tendrán acceso a dichas contraseñas.

Seguimos...


No hay comentarios:

Publicar un comentario