Guía de seguridad de Windows Vista

Por increíble que parezca, Microsoft ya ha publicado una guía de seguridad para Windows Vista.

Microsoft Vista Security Guide es la información que desde Redmond proponen a los usuarios de Vista para poner a punto su flamante y nuevo sistema operativo, el cual no se comercializa todavía, todo sea dicho.

Pero no cantéis victoria, ya que la guía está orientada sólamente, y cito requisitos especificados por la compañía, a titulados MCSE en Windows Server 2003 con dos o más años de experiencia, conocimiento profundo de dominios y Active Directory, experiencia en Group Policy Management Console (GPMC) y su administración, experiencia en el manejo de Microsoft Management Console (MMC), Gpupdate, y Gpresult y experiencia desplegando aplicaciones y terminales cliente en entornos empresariales. Y todo sólo para leer la guía, y para entender cosas como las defensas de Internet Explorer 7 contra el malware o el Internet Explorer Protected Mode. Me abstendré de hacer comentarios …

Sobre Vista ya nada me sorprende. Tratándose del mismo modelo de desarrollo que ha necesitado 8 personas trabajando un año para implementar la función de apagado del ordenador, todo es posible. Hasta que tengamos una guía de un producto que no se puede comprar hasta comienzos del 2007 y que requiere poco más o menos que un Máster en Harvard para comprender las tecnologías de defensa de Internet Explorer, o cómo hacer doble click en el panel de control para afinar las directivas de seguridad.

Sobre el asunto de la función de apagado, citar una frase de Joel Spolsky, que suele hablar con bastante propiedad cuando trata estos temas:

The only way Microsoft has managed to hire so many people has been by lowering their hiring standards significantly

Y para terminar, os propongo un juego. Y ese no es otro que encontrar las diferencias entre la guía de seguridad de Windows XP y la de Windows Vista. Yo entre tanto, voy a ver si me saco una Licenciatura en Humanidades, vaya que algún día, visto lo visto, alguien asuma que es necesaria para entender una guía de militarización de un sistema operativo :)

Vía: Xavi Caballé

5 comentarios sobre “Guía de seguridad de Windows Vista

  1. Lo siento, pero hoy toca un poco de cañita, tocayo. :D

    “Por increíble que parezca”
    ¿Por qué te parece tan increíble? No lo entiendo. En mi época de administrador agredecí mucho, muchísimo la guía de seguridad de XP antes de implantarlo en una gran red y poder así planificar convienientemente. ¿Acaso es eso malo?

    “no se comercializa todavía, todo sea dicho”
    No exactamente. Lo hará dentro de dos días para empresas (entorno que interesa a Microsoft) y en enero para usuarios. ¿Es mala esa planificación por adelantado?

    “ya que la guía está orientada sólamente,”
    ¿?¿?¿?¿?¿ En la guía pone lo que has dicho, pero también pone “o conocimiento equivalente”. Considero que esta crítica es agarrarse a un clavo ardiendo y criticar por criticar. En TODOS los documentos técnicos hay un apartado que habla sobre a quién va dirigido y piden un mínimo para situarse. Obviamente, en este caso se trata de administradores con cierta experiencia. No es un documento para que Paco, con el Windows pirata en casa y el emule a toda mecha, asegure su Windows que formatea cada mes. Es un documento para administradores de Active Directory, con un parque de máquinas que quizás renueven en breve y que requiere de planificación. Toda la ayuda por parte de la empresa a la que pagan sus servicios la agradecerán.

    “conocimiento profundo de dominios y Active Directory, experiencia en Group Policy Management Console (GPMC) y su administración, experiencia en el manejo de Microsoft Management Console (MMC), Gpupdate, y Gpresult y experiencia desplegando aplicaciones y terminales cliente en entornos empresariales”

    Todo lo que dices y que parece así muy rimbombante, es en realidad una misma cosa. Son herramientas BÁSICAS (no sabes hasta qué punto) de un administrador de Active Directory en una empresa medianamente grande (que yo he sido varios años).

    “requiere poco más o menos que un Máster en Harvard para comprender”
    Esta opinión no encaja demasiado. Es como decir “piden manejar el ping, el netstat, el ipconfig, el netsh, y el “net use” para administrrar una red… ¡poco menos que un Master!”. A mi hermana le parecerá que es necesario un Master, a cualquier administrador le parecerá absolutamente normal e incluso ridículo que lo especifiquen por obvio.

    “para comprender las tecnologías de defensa de Internet Explorer, o cómo hacer doble click en el panel de control para afinar las directivas de seguridad”
    No entiendo muy bien esta frase, pero si crees que Internet Explorer no tiene mecanismos sofisticados de defensa (como cualquier otro navegador) estás equivocado. Si crees igualmente que asegurar un Windows o manejar un Active Directory es cuestión de hacer clicks… mal andamos. Es simplificar mucho. Es como decir que “un OpenBSD se maneja a base de tocar archivos de texto, ¡vaya cosa!”

    “Y ese no es otro que encontrar las diferencias entre la guía de seguridad de Windows XP y la de Windows Vista. “
    Si a lo que te refieres es que son parecidas, sí, efectivamente. Como cualquier otro sistema operativo evolucionado de un precedente. Y lo dicen en la propia guía, que está basada en la confeccionada para XP.

    Con respecto al tema del botón de apagado, pienso que es una tremenda exageración, pero como no puedo demostrarlo…. habrá que creerlo y me parece criticable.

    Nada, que siento no estar para nada de acuerdo, pero es que creo que te has colado. Si te he malinterpretado… ya sabes ;-)

  2. De los Santos,

    Me encanta que me den caña, y lo agradezco especialmente si es alguien como tú que está versado en la materia. Así que tu dispara cuanto quieras, que son «balas» que se recogen gustosamente :)

    ¿Por qué te parece tan increíble? No lo entiendo. En mi época de administrador agredecí mucho, muchísimo la guía de seguridad de XP antes de implantarlo en una gran red y poder así planificar convienientemente. ¿Acaso es eso malo?

    Malo no es, es irreal. Planificar algo y no contar con ese algo más que planificar es fantasear. Si uno de los pilares de esa guía supuestamente es el despliegue, y no tengo nada que desplegar, pues no se yo cuán real será mi planificación :)

    “no se comercializa todavía, todo sea dicho”
    No exactamente. Lo hará dentro de dos días para empresas (entorno que interesa a Microsoft) y en enero para usuarios. ¿Es mala esa planificación por adelantado?

    Teniendo en cuenta la demora monstruosa que tiene Vista, y ya que la idea es planificar, ¿por qué no editaron la guía en el 2004? Total, para lo que ha cambiado … Planificar no es malo, pero pretender planificar algo sin tenerlo en la mano insisto que, al menos en informática, es más fantasía que planificación. Otro tema son los negocios, donde seguro que se puede planificar sin tener nada en la mano. Pero de eso no hablábamos.

    ¿?¿?¿?¿?¿ En la guía pone lo que has dicho, pero también pone “o conocimiento equivalente”. Considero que esta crítica es agarrarse a un clavo ardiendo y criticar por criticar. En TODOS los documentos técnicos hay un apartado que habla sobre a quién va dirigido y piden un mínimo para situarse.

    Sergio, es ESPANTOSAMENTE RIDÍCULO que para esta guía, que es la que yo comento, pidan esa lista de requisitos deseables. Es una guía de aficionados, nada más hay que ver cómo enfocan el «capítulo» de defensa frente al maware. Ni tan siquiera es una guía de militarización como Dios manda, y ni toca cosas que sí se piden como «requisitos deseados», por no mencionar que, si la comparamos con textos mucho más creíbles y completos en lo que a administración Windows se refiere, como alguna que otra guía (MCSA on Windows Server 2003 Core Exams in a Nutshell, el How to Cheat at Designing a Windows Server 2003 Active Directory Infrastructure o Learning Windows Server 2003, Second Edition, todos de O’ Reilly), más que una guía empieza a parecer un folleto.

    Todo lo que dices y que parece así muy rimbombante, es en realidad una misma cosa. Son herramientas BÁSICAS (no sabes hasta qué punto) de un administrador de Active Directory en una empresa medianamente grande (que yo he sido varios años).

    No lo digo yo, lo dicen ellos :) Y sí, coincido contigo en que es indispensable manejar estos conocimientos si quieres administrar con seriedad una red Windows. Pero es ridículo que ese baremo sea la recomendación para leer una guía que tiene de técnico lo que tengo yo de piloto de cazabombardero :P

    Por cierto, mal ejemplo el directorio Activo: admite muchas alternativas, con lo que tampoco creo que sea tan tan indispensable.

    Si crees igualmente que asegurar un Windows o manejar un Active Directory es cuestión de hacer clicks… mal andamos. Es simplificar mucho. Es como decir que “un OpenBSD se maneja a base de tocar archivos de texto, ¡vaya cosa!”

    No es que lo crea, es que es un sistema que está pensado para administrar tocando la consola lo menos posible. Es su filosofía, ¿o es que acaso hay cosas que se pueden hacer vía command y que no se pueden hacer usando el entorno gráfico?

    Tambien Directory Server de Fedora está pensado para hacer clicks, porque se ha parido con esa misma filosofía. Es una evidencia, como lo es la de Active Directory.

    Si a lo que te refieres es que son parecidas, sí, efectivamente. Como cualquier otro sistema operativo evolucionado de un precedente. Y lo dicen en la propia guía, que está basada en la confeccionada para XP.

    Por esta razón es ridículo que para la guía de XP baste con que seas un aficionado al doble click, y que para esta guía Vista tengas que poseer un aparentemente elevado conocimiento de administración Windows. Repito: ridículo, no es un texto que requiera ninguna cualificación más allá que saber de qué va cada cosa por encima.

    Con respecto al tema del botón de apagado, pienso que es una tremenda exageración, pero como no puedo demostrarlo…. habrá que creerlo y me parece criticable.

    Tampoco lo pudo demostrar yo. Lo llevo viendo días, y sólo me animé a comentarlo cuando Spolsky lo comentó, ya que me parece una persona bastante creíble en sus argumentaciones.

    Nada, que siento no estar para nada de acuerdo, pero es que creo que te has colado. Si te he malinterpretado… ya sabes ;-)

    Creo que has interpretado perfectamente lo que he dicho, y creo que has rebatido paso a paso mis argumentaciones, con corrección y con argumentos. La pena es que yo siga pensando lo que te acabo de contestar, pero … no siempre se puede llegar al consenso, ¿no?

    Un abrazo, que evidentemente espero hagas extensible a todos los integrantes de HS :)

  3. Por cierto,

    Ví el otro día la noticia sobre la comparativa Oracle y SQL Server. Me gustó el artículo, a ver si saco algo de tiempo y hago un análisis del texto original, ya que, si bien es cierto que contemplando la seguridad como único factor de medición Oracle sale mal parado allí por donde pase, no menos cierto es que no siempre es un gestor de BBDD pensado para exponerlo al tráfico remoto anónimo aka Internet.

    Creo que últimamente se está denostrando a Oracle únicamente por el factor seguridad, y que pocas veces se analizan otros factores mucho más importantes cuando la seguridad no lo es (insisto, el caso de un servidor encapsulado en un aplicativo monstruoso, donde no hay manera de manipular ni tan siquiera a nivel local). Hablo de escalabilidad, interoperabilidad y potencia.

    A lo que voy es que la comparativa es sesgada, y carga contra Oracle sin tener en cuenta que el escenario propuesto para la explotación de sus problemas es siempre el de un servidor de BBDD expuesto a tráfico humano, cuando eso no es siempre así.

    A ver si saco tiempo y hablo al respecto :)

    Saludos,

  4. Tienes mucha documentación para el tema de Oracle en el hilo formado en la lista de SecurityFocus. David está contestando ahí a todo el que le rechista algo del documento, y casi todos han argumentado ya lo que tú, aunque David se defiende.

    Para mí, optar por Microsoft tiene sentido si existe Active Directory, que es mucho, muchísimo más potente de lo que te imaginas y que (aunque haya alternativas dignas) no tiene rival, lo cojas por donde lo cojas. Es una joya impresionante, basada en muchos estándares (sí, DNS, Kerberos, IPSec, LDAP…) y tremendamente potente… Si tienes una red pequeña y no necesitas AD, mi opción sería tirar por otros sistemas (sí, GNU/Linux) si el software que se manejará en los clientes lo permite. Así de simple.

    Y sí, todo lo que se puede hacer vía gráficos se puede hacer por comandos, y mucho, mucho más. Que los administradores se conformen con hacer click es otra historia, pero poder se puede. Los Resource kits para 2000, 2003 están para eso, tienen literalmente cientos de herramientas por línea de comando que suplen la necesidad de gráficos, además de los pstools y otras muchísimas herramientas curradas por especialistas. Ahora, que la gente no lo sepa no es problema mío. Los muy críticos tienden a reducir todo Microsoft al Windows pirata de Paco con el emule en su casa, y tienen muy presentes todavía (les gusta estar anclados, no evolucionan) el desastre de sistema que era W9x. Pero de eso hace ya muchos años.

    La facilidad de uso de los gráficos no es una desventaja, como parece que piensa mucha gente. No pierdes el control, pero obviamente, si sabes perfectamente lo que estás haciendo y en caso necesario lo complementas con línea de comando. Sinceramente prefiero pinchar en un checkbox que editar un texto, pero claro, en ambos casos es requisito imprescindible saber lo que estás haciendo, si no, estamos apañaos en ambos casos. Otra cosa que no sabe la gente es la cantidad de How-tos que ofrece Microsoft en su propia página y que explican PERFECTAMENTE todo, con alternativas y demás… pero insisto, eso no se problema mío. El problema casi siempre es el desconocimiento.

Comentarios cerrados.