Llegamos a ustedes gracias a:



Columnas de opinión

Su red Microsoft es tan segura como su servidor más antiguo

Por: Susan Bradley, colaboradora de CSO y responsable de TI en su empresa, Tamiyasu

[11/12/2021] Sus planes de TI futuros probablemente incluyen la prueba y la planificación de las implementaciones de Windows 10 y Windows 11. Está investigando los métodos de despliegue y gestión, incluyendo la política de grupo y la configuración de Intune. Ha leído sobre cómo Windows 10 y Windows 11 han pasado a una cadencia de lanzamiento de características anual y se han alejado de la cadencia de dos veces al año.

Sus despliegues de escritorio están relativamente bajo control, pero ¿dónde están sus despliegues de servidores? He visto pruebas de que las recientes actualizaciones de Windows para computadoras de escritorio están interactuando con plataformas más antiguas sin parches y causando dificultades indebidas.

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

Los profesionales de TI culpan a los parches, pero el verdadero problema subyacente son las plataformas de servidor que se utilizan para la autenticación y el almacenamiento. Si todavía utiliza Windows Server 2003 en su red, no solo proporciona puntos de entrada en su red para los atacantes, sino que permite que se despliegue SMB v1 en su red. Eso impide que las redes desplieguen técnicas de autenticación más seguras y la capacidad de desplegar mejores formas de conectarse a su red.

He visto a administradores de redes informar de que, cuando tienen una máquina Windows 2003 como servidor de impresión, se produjeron problemas de impresión cuando se aplicaron las recientes actualizaciones de seguridad de octubre y noviembre a las estaciones de trabajo Windows 10 (concretamente KB5006670 publicada el 12 de octubre del 2021 para Windows 1; 2004, 20H2, 21H1 y 21H2 y KB5007186 publicada el 9 de noviembre del 2021 para Windows 10, 2004, 20H2, 21H1 y 21H2). Los administradores han tenido que trasladar el servidor de impresión a una plataforma con parches más recientes para resolver los problemas de impresión provocados por la falta de actualizaciones en la plataforma Server 2003 y el despliegue de actualizaciones en las plataformas Windows 10. También he visto a administradores informar de que los servidores más antiguos, como Server 2008 R2, Server 2008 y Server 2003, causaban problemas de uso compartido de archivos en red si se emparejaban con Windows 10.

Tenga en cuenta la edad del servidor y las fechas de finalización del soporte de seguridad

Microsoft anunció que está ampliando las ofertas de actualización de seguridad extendida (ESU) para Windows Server 2008 R2 SP1, Windows Server 2008 SP2, Windows Server 2008 R2 SP1 para sistemas integrados y Windows Server 2008 SP2 para sistemas integrados si se ejecuta en Microsoft Azure. Estas plataformas contarán con un año adicional de ESUs a partir del 14 de febrero del 2023, finalizando el 9 de enero del 2024. Windows 7, sin embargo, mantendrá la fecha original de ESU del 10 de enero del 2023 para su ventana de soporte de ESU.

Haga un inventario de los sistemas operativos de su servidor y revise lo que tiene instalado. Algunas fechas de soporte a tener en cuenta: Windows Server 2012 tiene soporte hasta el 10 de octubre del 2023. Después de esa fecha, puede adquirir ESUs por un año más y cada año posterior hasta un total de tres años.

No piense solo en el ciclo de vida de los sistemas operativos. Mire sus granjas de servidores y la antigüedad de las implantaciones. Si tiene servidores físicos, puede determinar la edad de los sistemas mirando sus garantías. Por ejemplo, si utiliza servidores HP, puede revisar la garantía en línea para determinar la edad de los servidores.

Incluso si todos sus servidores están en un centro de datos, revise sus contratos con el anfitrión y su guía de soporte para los sistemas operativos en sus centros de datos. Ellos también pueden tener mandatos de ciclo de vida y de migración ligados a la capacidad de soporte de los sistemas operativos de los servidores. Revise sus opciones en cuanto a la compatibilidad.

Traslado de Active Directory a la nube

Si amplía su Active Directory (AD) a las propiedades de la nube, tenga en cuenta los niveles de compatibilidad del servidor. La ampliación de su AD a los servicios en la nube le ayudará a modernizar su infraestructura de AD. Por ejemplo, las versiones más antiguas de AD no pueden admitir la autenticación multifactor, e incluso entonces debe estar en una infraestructura de servidor local y un nivel de bosque compatibles. Se pueden utilizar servicios como Amazon Web Services para ampliar la implementación existente en las instalaciones a las plataformas en la nube. Si utiliza Azure para unirse a su red local, puede utilizar soluciones como Azure AD Connect para sincronizar la identidad local con Azure y, en última instancia, con la información de Microsoft 365.

Muchas empresas utilizan una estrategia denominada "lift and shift". Los servidores locales simplemente se copian o se trasladan a máquinas virtuales y se trasladan a las propiedades de la nube. Esta es una forma de abordar la capacidad de soporte de sus propiedades de servidor. Para las redes que cuentan con personal de administración de TI que supervisa y despliega el hardware de esta manera, este es probablemente el camino más fácil de tomar. Los recursos y procesos que se utilizan actualmente para gestionar y mantener los servidores son casi idénticos cuando se utiliza IaaS.

Las alternativas incluyen una re-arquitectura total de su red. Puede considerar la posibilidad de pasar a la modalidad "sin servidores" con todo su despliegue en las instalaciones. Comience por hacer un inventario de sus aplicaciones de línea de negocio para ver cómo está preparado para migrar a esta posibilidad. ¿Tienen sus aplicaciones alternativas en la nube u otro enfoque de plataforma como servicio o micro servicios?

Traslado de Exchange y SharePoint locales a la nube

Trasladar Exchange y SharePoint a la nube también le permitirá reasignar los recursos de gestión de parches a las tareas de cumplimiento. Como alguien que ha configurado un servidor SharePoint para actualizarlo, no echo de menos ocuparme de la gestión de parches en las instalaciones de SharePoint o Exchange.

Si su empresa está muy arraigada a los servidores locales, identifique los servicios que pueden migrar fácilmente a las plataformas en la nube. Si todavía tiene un Exchange local, le recomiendo encarecidamente que considere la posibilidad de pasar al correo electrónico de Exchange alojado. El Exchange local está en el punto de mira de los atacantes. El Exchange alojado no solo está más protegido por Microsoft, sino que cuenta con una tecnología e infraestructura diferentes para garantizar una mejor protección.

Si todavía piensa tener Exchange desplegado en las instalaciones y no trasladarlo a un servicio alojado, le recomiendo que despliegue el Servicio de Mitigación de Emergencias de Microsoft Exchange. Introducido por primera vez en las actualizaciones de septiembre, este módulo permite a su servidor extraer las protecciones de día cero que Microsoft prepara para proteger y defender mejor los servidores Exchange.

SharePoint es otra plataforma que se puede migrar a una plataforma en la nube. Muchos servidores de SharePoint se pueden migrar con problemas mínimos. La migración a implementaciones de SharePoint en línea también facilita la actualización y la seguridad de las interacciones con el navegador. Si utiliza Internet Explorer como navegador principal para acceder a sus sitios de SharePoint, planifique la migración a una plataforma que pueda soportar navegadores modernos.

En resumen, planifique la migración y el despliegue de sus servicios de servidor, no solo de sus estaciones de trabajo. Aproveche este momento para revisar sus opciones y planificar hacia dónde quiere que se mueva su red.

Basado en el artículo de Susan Bradley (CSO) y editado por CIO Perú

Susan Bradley lleva aplicando parches desde antes de los días de Code Red/Nimda y recuerda exactamente dónde estaba cuando llegó el SQL slammer (intentando comprar algo en eBay y preguntándose por qué Internet iba tan lento). Escribe la columna Patch Watch para Askwoody.com, es moderadora del listserve PatchManagement.org, y escribe una columna de consejos de seguridad de Windows para CSOonline.com. En la vida real, es la responsable de TI en su empresa, Tamiyasu, Smith, Horn y Braun, donde gestiona una flota de servidores Windows, despliegues de Microsoft 365, instancias de Azure, computadoras de escritorio, algunos Macs, varias iPads, algunos dispositivos Surface, varios iPhones y trata de mantener los parches al día en todos ellos. Además, realiza investigaciones informáticas forenses para la rama de consultoría de litigios de la empresa.

Primer Contacto

Más »

Casos de éxito

Más »