[13/03/2022] Para el 2022, a usted se le asignó la tarea de iniciar un proyecto piloto para implementar y administrar Windows 11. Cualquier plataforma es tan segura como lo bien que pueda administrarla. Microsoft ha declarado que administrar Windows 11 será como administrar Windows 10. Sin embargo, algunos matices en la administración pueden hacer que reconsidere las herramientas de administración de seguridad que usará para Windows 11 y posiblemente incluso para Windows 10.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Muchas empresas usan una infraestructura tradicional de Active Directory para administrar una combinación de máquinas con Windows, por ejemplo, directivas de grupo para administrar la configuración de seguridad, así como para establecer la configuración de seguridad para los servicios de actualización de software de Windows o Windows Update for Business. Como lo indicó un blog reciente de Microsoft, es posible que deba determinar qué plantillas ADMX necesita implementar en su almacén central de directivas de grupo. Si su empresa se va a mantener en Windows 10 en un futuro cercano, se recomienda que permanezca con las plantillas ADMX de Windows 10, en lugar de instalar y usar las plantillas de Windows 11. Si planea usar Windows 11 principalmente, incluso si todavía tiene algunas máquinas en Windows 10, querrá implementar las plantillas ADMX de Windows 11.
Administrar Windows 10 y Windows 11 en el mismo dominio
Si necesita controlar Windows 10 y 11 en el mismo dominio, tiene opciones para la administración. Primero, puede controlar las estaciones de trabajo de Windows 10 y 11 desde dos estaciones de trabajo de administración diferentes. Apunte una hacia el controlador de dominio para el almacén de administración. Por otro lado, después de instalar las herramientas RSAT mediante el asistente para agregar funciones, agregue una clave de registro para apuntar las herramientas de administración a la estación de trabajo local en lugar del servidor.
Abra el Editor del Registro y agregue el siguiente valor de registro:
Key: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Group Policy
Value: EnableLocalStoreOverride
Type: REG_DWORD
Data: 1
Una vez que haya configurado esta clave de registro, la herramienta de administración de Group Policy puede administrar sus máquinas con Windows 11, mientras que una estación de trabajo independiente aún puede administrar las máquinas con Windows 10. Por ejemplo, Windows 11 tiene una política de grupo que le permite controlar "Noticias e intereses”, que no está en las plantillas de políticas de grupo de Windows 10.
Con esta metodología, necesitará dos máquinas virtuales que tengan suficientes derechos administrativos para controlar las estaciones de trabajo: una para controlar Windows 10 y la otra para controlar Windows 11. Deberá iniciar sesión en cada una para controlar cada versión en su dominio.
Sin embargo, existe una forma alternativa de administrar estaciones de trabajo con Windows 11. Muchos de nosotros estamos reevaluando cómo implementamos y administramos nuestras redes. Algunas pequeñas y medianas empresas incluso están considerando cambiar a un modelo de dominio, sin controlador on site, de Active Directory y colocar ese controlador de dominio en Azure como un servidor virtual, o cambiar a un modelo donde Azure Active Directory es la única infraestructura de dominio con Intune como su herramienta de administración y control.
Group Policy para Windows 10, Intune para Windows 11
Considere usar las herramientas de Group Policy tradicionales para Windows 10 y cambiar a Intune y otras herramientas en la nube para Windows 11. Si bien implica el uso de dos herramientas para administrar sus desktops, le ayudará a pasar a las herramientas "modernas”. Puede inscribir sus dispositivos Windows 11 en Intune y luego usar su consola basada en la nube para la administración y el control de esas plataformas. Es posible que desee revisar sus opciones de administración, especialmente para las computadoras desconectadas durante el acceso remoto.
Si va a tener algunos dispositivos con Windows 11 en el canal interno para poder revisar los próximos cambios en el Administrador de Tareas y otras características nuevas en la canalización de prueba, puede usar Intune para cambiar los sistemas a las versiones internas. Si bien no recomiendo usar las ediciones Insider en la configuración de producción, es aconsejable que algunos administradores avanzados usen las versiones preliminares en las pruebas para estar al tanto de las próximas funciones.
Revisar las líneas de base y las políticas de seguridad
Microsoft actualiza su kit de herramientas de seguridad de Microsoft después de cada lanzamiento de la plataforma. Este paquete incluye las líneas de base de configuración de seguridad recomendadas por Microsoft para Windows y otros productos de Microsoft, al mismo tiempo que las compara con otras configuraciones de seguridad. Incluye las líneas base de seguridad de Windows 11 y Windows 10, así como la documentación de la línea base de actualización de Windows 10. Hay 61 configuraciones de Política/Registro de Grupo nuevas, exclusivas para esa plataforma que van desde "Evitar el movimiento de fondo de la pantalla de bloqueo” hasta "Reemplazar JScript cargando JScript9Legacy en lugar de JScript a través de MSHTML/WebOC”.
También usaría la planificación de la implementación para revisar las políticas existentes. La empleada de Microsoft, Aira Carley, que se especializa en la actualización de políticas para varias plataformas de Windows, hizo una publicación de blog en la cual enumera las políticas de grupo que no debe usar al administrar Windows 10. En Windows 11, Microsoft creó una subcarpeta en las plantillas ADMX de Windows 11 para indicar las políticas previas que ya no se usan. La lista varía desde la configuración de "No mostrar la opción 'Instalar Actualizaciones y Apagar' en el cuadro de diálogo 'Apagar Windows'” hasta "Actualizar Política de Energía para Reinicios del Carrito”, que indica que seguirá funcionando con Windows 10 y Windows 11. Sin embargo, reducirá drásticamente el cumplimiento y la velocidad en la que el dispositivo recibe actualizaciones. Microsoft recomienda usar Horas Activas en su lugar.
Windows 11 avanza hacia el uso de la configuración de seguridad
Windows 11, como se señaló en las dos publicaciones de blog recientes de Michael Neihaus (consulte la parte 1 y la parte 2), no incluye nuevas funciones de seguridad significativas. Más bien, nos empuja a hacer cumplir las configuraciones de seguridad que no hemos implementado hasta la fecha, como la protección de las credenciales y el cifrado de la máquina.
Las nuevas políticas de administración de dispositivos móviles (MDM) para Windows 11 incluyen Policy CSP, que agregó estas políticas en Windows 11, versión 21H2:
- NewsAndInterests/AllowNewsAndInterests
- Experiences/ConfigureChatIcon
- Start/ConfigureStartPins
- Virtualizationbasedtechnology/HypervisorEnforcedCodeIntegrity
- Virtualizationbasedtechnology/RequireUEFIMemoryAttributesTable
DMClient CSP actualizó la descripción del siguiente nodo:
- Provider/ProviderID/ConfigLock/Lock
- Provider/ProviderID/ConfigLock/UnlockDuration
- Provider/ProviderID/ConfigLock/SecuredCore
Windows 11 le empuja a usar más de las configuraciones de seguridad que ya tiene en Windows 10 pero que no está usando ahora. "Microsoft quiere que use las funciones de seguridad existentes de la era de Windows 10 que tienen requisitos de hardware específicos (HVCI/VBS, TPM, Secure Boot, por ejemplo), y esas funciones no tienen suficiente adopción en Windows 10”, escribió Neihaus.
Si bien los cambios entre Windows 10 y Windows 11 no son excelentes, considere que este es buen momento para reevaluar cómo administra e implementa las plantillas de seguridad en la plataforma. Es hora de revisar si hay mejores formas de hacer lo que ha estado haciendo durante años.
Basado en el artículo de Susan Bradley (CSO) y editado por CIO Perú
Puede ver también: