m Mejor seguridad y protección RESUMEN DE SOLUCIONES Proteja PCs e información confidencial a través de una plataforma integrada. Windows Optimized Desktop
Windows Optimized Desktop ESCRITORIO OPTIMIZADO DE WINDOWS El escritorio optimizado de Windows ofrece al cliente opciones de cómputo para mejorar la productividad del usuario y al mismo tiempo cubre necesidades específicas de negocios y TI. Construido con el sistema operativo Windows 7 Enterprise, administrado por Microsoft System Center y asegurado por Microsoft Forefront Endpoint Protection, el escritorio optimizado de Windows incluye tecnologías de virtualización, con gestión integrada en máquinas físicas y virtuales, incluyendo Microsoft Virtual Desktop Infrastructure (VDI). Agregue Microsoft Office 2010, Windows Internet Explorer 8 y el Microsoft Desktop Optimization Pack (MDOP), y usted tendrá una fuerza de trabajo y un ambiente más productivo, manejable y seguro. Conforme los empleados se hacen más móviles, el riesgo a la información crítica del negocio aumenta significativamente. Además, las organizaciones necesitan constantemente mantenerse un paso adelante del malware y los virus que los usuarios pudieran invitar accidentalmente por medio de mensajes de correo electrónico o descargas del internet. Mientras más empleados trabajan en forma móvil, éstos cargan consigo información confidencial en sus PCs, discos duros portátiles y memorias USB. Las organizaciones se enfrentan constantemente con el reto de habilitar a sus empleados para trabajar de forma remota, mientras protegen sus archivos importantes del creciente riesgo de pérdida de información. Este resumen de soluciones describe el escenario de la Mejor seguridad y protección del escritorio optimizado de Windows. En este escenario, el administrador de configuración de Microsoft System Center y Microsoft Forefront Endpoint Protection extienden las funciones de seguridad nativas del sistema operativo Windows 7 Enterprise para proporcionar protección multinivel contra malware, mientras consolida la seguridad y la administración de configuraciones en una solución unificada. Windows 7 Enterprise BitLocker Drive Encryption y BitLocker To Go añaden encriptado para los PCs y dispositivos USB portátiles y AppLocker asegura que las aplicaciones instaladas en PCs cumplan con los estándares. Los usuarios de Microsoft Exchange Server y Microsoft Office 2010 también pueden beneficiarse de la Administración de Derechos de Información (IRM, por sus siglas en inglés). Enfoque en los fundamentos Microsoft ha tomado un enfoque integral para proporcionar calidad durante el ciclo de desarrollo de Windows 7 y se ha enfocado específicamente en tres áreas amplias para mejorar los fundamentos: mejoras en el proceso de ingeniería, mejores asociaciones con proveedores de software y hardware de PC, e inversión en innovaciones de plataforma en Windows 7 para mejorar las dimensiones de calidad en lugar de enfocarse solamente en los problemas individuales. Como resultado, Windows 7 es el sistema operativo Windows más seguro hasta ahora, proporcionando múltiples niveles de defensa para ayudar a proteger a los usuarios finales en línea y fuera de línea. Windows 7 también proporciona nuevas y mejoradas formas de ayudar a proteger información en caso de pérdida o robo de un PC. Windows 7 Enterprise incluso ofrece nuevas formas de almacenar información de forma segura en dispositivos USB removibles. Una infraestructura de administración e interfaz unificadas pueden ahorrarle tiempo y esfuerzo a los profesionales de TI mientras mejora la transparencia y rendimiento para usuarios finales. Asegurar y proteger información confidencial Mientras las redes empresariales y los usuarios se hacen más móviles y más conectados, las infraestructuras de TI se vuelven más complejas, aumentando los riesgos de los sistemas y la información: Los usuarios móviles almacenan archivos confidenciales en sus laptops, las cuales son vulnerables al robo o pérdida. Los usuarios se llevan el trabajo a casa en memorias USB y muchas veces las pierden. Los profesionales de TI deben balancear una multitud de configuraciones de seguridad para usuarios que tienen varios grados de permisos de acceso. Los usuarios (accidentalmente o a propósito) envían documentos confidenciales a otros que no tienen derecho a verlos. 2
Las compañías que usan Windows 7 Enterprise tienen acceso a una multitud de herramientas, tales como BitLocker y BitLocker To Go; nuevas y mejoradas configuraciones de Políticas de grupo; IRM; y varias opciones de virtualización para ayudar a proteger la información, la infraestructura de TI, los discos duros internos del PC y memorias USB externas. BitLocker Windows 7 Enterprise proporciona BitLocker, el cual encripta la unidad completa y codifica automáticamente cualquier archivo adicional que haya sido añadido a dicha unidad particularmente útil para usuarios móviles con PCs móviles. El acceso a la unidad codificada sólo se concede a usuarios o administradores que tienen los permisos apropiados. Usando un chip de hardware (Módulo de Plataforma Confiable TPM), BitLocker sólo permite el acceso cuando el usuario está cargando el sistema operativo de la compañía en el dispositivo al que pertenece. La unidad no puede leerse en ningún otro dispositivo ni cargarse otro sistema operativo. Los números de identificación personal (PINs, por sus siglas en inglés) al pre-inicio pueden ayudar a mejorar aún más la seguridad. BitLocker almacena las claves de recuperación en el servicio Active Directory para el acceso del administrador en caso de que los usuarios olviden sus PINs o reemplacen sus PCs. Con mejores funciones de seguridad tales como BitLocker y BitLocker To Go, podremos permitir a los empleados usar sus computadoras fuera de la oficina sin el temor de perder información valiosa. También podremos eliminar nuestra aplicación interna de encriptado de datos. Kohji Umino, Líder, Grupo de Clientes, División de Tecnología de la Información y Soluciones, Ricoh BitLocker To Go BitLocker To Go extiende el BitLocker Drive Encryption a unidades portátiles, tales como memorias USB. Las unidades portátiles se encuentran encriptadas y protegidas por una contraseña. Los usuarios autorizados pueden ver la información en cualquier PC que corra Windows 7 Enterprise, Windows Vista, o Windows XP. Al usar Políticas de grupo, los administradores pueden solicitar protección de información por escrito para cualquier dispositivo removible de almacenamiento pero puede habilitar dispositivos de almacenamiento sin protección para ser usados en modo de sólo lectura. Asegurar que las aplicaciones cumplan con los estándares Con la capacidad de Windows 7 Enterprise AppLocker, las organizaciones pueden reducir significativamente el riesgo de software que no cumpla o que no esté autorizado, mientras proporciona gran flexibilidad para usuarios finales. Por ejemplo: los administradores pueden crear listas blancas para diferentes grupos de usuarios. Los usuarios pueden aún instalar o actualizar aplicaciones o plug-ins, pero sólo desde fuentes en las que la organización confíe y permita. AppLocker proporciona estructuras simples, poderosas y basadas en reglas para especificar cuáles aplicaciones pueden correr los usuarios y cuáles no. Esas reglas se administran centralmente usando Políticas de Grupo. Las reglas de AppLocker están basadas en la firma digital de una aplicación, haciendo posible la construcción de fuertes reglas basadas en el creador del software, aplicación específica y versión. Por ejemplo: una organización puede crear una regla para permitir todas las versiones mayores a 1.0 de Microsoft Dynamics CRM para correr si están firmadas por Microsoft. No hay necesidad de construir una nueva regla para cada actualización de versión. CONTROL DE DISPOSITIVOS POR MEDIO DE POLÍTICAS DE GRUPO Los profesionales de TI pueden usar las Políticas de grupo de Windows 7 Enterprise para controlar cuáles dispositivos pueden conectarse a los PCs corporativos. Por ejemplo: TI puede definir una política que prevenga que los usuarios conecten unidades removibles tales como memorias USB o inserten DVDs en las computadoras. En ambientes de alta seguridad donde se requiere el control máximo de la información, estas políticas pueden ayudar a aplicar la política corporativa contra sacar información fuera de la oficina en unidades removibles. 3
Windows Optimized Desktop OPCIONES DE VIRTUALIZACIÓN Para un mayor aislamiento de información confidencial, las empresas pueden elegir implementar la virtualización de escritorios basados en servidores, tal como Microsoft Virtual Desktop Infrastructure (VDI) o virtualización de presentación. En ese caso, todo el procesamiento y almacenamiento de datos ocurre en un servidor centralizado, de modo que la información confidencial permanece fuera de los PCs. Este enfoque es útil en situaciones donde el cumplimiento regulatorio requiere un control estricto de la información, y el usuario final siempre está conectado a la red corporativa. Windows 7 Enterprise, particularmente cuando se usa en conjunto con System Center, Windows Server 2008 R2 y Exchange Server, otorga a los departamentos de TI la habilidad de ayudar a asegurar información confidencial en PCs y laptops, por medio de información integral y protección de sistema. Los usuarios y profesionales de TI tienen mayor tranquilidad. Protéjase contra amenazas con gestión unificada Dado que muchos de los negocios de hoy en día dependen del internet, la seguridad en línea es otra prioridad para los departamentos de TI. Una visita a un sitio comprometido puede dar como resultado la descarga de un código malicioso, fraudes, o rastreo de las acciones del usuario. TI debe proporcionar protección contra estas amenazas y las tecnologías disponibles a través del escritorio optimizado de Windows se integran entre sí para reducir la complejidad de la gestión de amenazas. Forefront Endpoint Protection Forefront Endpoint Protection 2010 permitirá a las empresas defenderse contra las últimas amenazas de malware, mientras ayuda a los administradores de TI a tener mejor visibilidad para identificar y remediar PCs vulnerables. Construido con System Center Configuration Manager 2007, Forefront Endpoint Protection permite a las organizaciones usar su infraestructura existente de administración de clientes para instalar y mantener la seguridad en los dispositivos del usuario. Con gestión unificada de PCs y protección, las empresas podrán reducir la complejidad, al mismo tiempo que mejoran la protección en general. El personal de TI tendrá una sola interfaz para configurar y administrar las políticas, haciendo más fácil la identificación, resolución de problemas y proteger dispositivos sin parchas o que estén mal configurados. Forefront Endpoint Protection incluye la detección altamente exacta y eficiente del malware y rootkits más recientes, con un rango muy bajo de falso positivo lo que quiere decir que los correos electrónicos válidos no son bloqueados de forma inapropiada. También incluye nuevas tecnologías conductuales que protegen contra amenazas desconocidas o de día cero. Forefront Endpoint Protection también extiende las funciones de seguridad incluidas denle el Windows Firewall permitiendo a los administradores gestionar fácilmente esta protección a nivel de red en toda la empresa. La estrategia de Microsoft de integrar Forefront Endpoint Protection con System Center Configuration Manager. Esperamos que este enfoque de fusionar la seguridad de terminales con la administración general de terminales simplificará la implementacion y administración, reduciendo el costo total de propiedad de cada escritorio. Kristaps Cudars, Especialista Senior en Virtualización de Escritorio, Rigas Stradina University Internet Explorer 8 Utilizar Windows Internet Explorer 8 en Windows 7 Enterprise también aumenta la defensa contra amenazas de la web. La Prevención de ejecución de datos ayuda a prevenir que códigos corran en espacio de memoria que está marcado como no ejecutable. Esta función de seguridad ayuda a proteger contra virus y malware que pudiera instalarse en un PC sin el conocimiento del usuario. El Filtro Microsoft SmartScreen mejora la protección antifraudes originada en Internet Explorer 7, examinando de cerca un vínculo completo y comparándolo con una base de datos de reputación continuamente actualizada. El Filtro SmartScreen notifica a los usuarios si descubre que un sitio es conocido por distribuir software malicioso o ha tratado de descargar archivos que otros han reportado como inseguros. Internet Explorer 8 incluye un Filtro de Secuencias de Comandos Entre Sitios (XSS, por sus siglas en inglés) que puede ayudar a detectar ataques XSS Tipo 1 (una amenaza principal contra sitios web). El filtro limpia los comandos detectados para prevenir que lleven a cabo ataques. Los sitios fraudulentos, otra causa de preocupación, a menudo utilizan vínculos que están formados con una porción de un dominio legítimo. Internet Explorer 8 resalta la porción del dominio del vínculo en la barra de dirección, haciendo más fácil para los usuarios finales identificar sitios fraudulentos. 4
Además, Internet Explorer 8 en Windows 7 Enterprise incluye más de 100 nuevas configuraciones de Políticas de grupo para simplificar la implementación, configuración y personalización del navegador. ADMINISTRACIÓN DE DERECHOS DE INFORMACIÓN (IRM) DE OFFICE 2010) Forefront Threat Management Gateway Forefront Threat Management Gateway (TMG) 2010 expande las capacidades de IE8, ayudando a aumentar la seguridad del uso de la red corporativa con una solución fácil de manejar que integra múltiples tecnologías de inspección. Implementado en redes corporativas como una compuerta unificada, Forefront TMG incluye firewall a nivel aplicación y a nivel red, prevención de intrusos, y filtro de malware para mantener a los usuarios a salvo de ataques desde la Web. También previene que los usuarios accedan a sitios web maliciosos o no autorizados usando tecnología de filtro de vínculos que agrega datos de múltiples proveedores, junto con las tecnologías antifraude y antimalware incluidas en IE8. La categorización altamente precisa de los sitios web también bloquea sitios que puedan violar las políticas corporativas. Administre centralmente las actualizaciones de malware y de seguridad Los usuarios móviles y remotos quieren un acceso ininterrumpido y consistente a las aplicaciones desde numerosos dispositivos y ubicaciones. TI se enfrenta al reto de otorgar eficientemente a los usuarios este poder, basándose en una multitud de roles de usuario y escenarios de negocios. Una tarea principal es mantener las actualizaciones de seguridad para los usuarios, independientemente de sus dispositivos y ubicaciones. La convergencia de Forefront Endpoint Protection y System Center Configuration Manager ayuda a hacer esta tarea menos onerosa. Esta infraestructura compartida reduce los costos de propiedad mientras proporciona una mejor visibilidad y control sobre la administración de terminales y seguridad. La solución integrada entrega una sola experiencia de configuración de política para la administración de clientes y protección de estaciones de trabajo mientras permite una implementación eficiente y altamente escalable de protección de estaciones de trabajo en ambientes distribuidos. Los profesionales de TI pueden optar por recibir alertas por correo electrónico cuando problemas como brotes de malware ocurren. El panel de información de Forefront Endpoint Protection proporciona el estado más actual de la empresa sobre sus políticas de seguridad y distribuciones de actualizaciones, infecciones o vulnerabilidades detectadas y progreso de instalación, permitiendo a los administradores identificar y remediar activamente sistemas en riesgo. Oferta de servicio de Microsoft Services para el escritorio optimizado de Windows: Mientras BitLocker protege la información almacenada en el PC local, las empresas que utilizan Office 2010 (con Microsoft Outlook ) y Exchange Server, pueden usar IRM (Information Rights Management) para ayudar a proteger archivos e información específica en tránsito. Los usuarios móviles y remotos pueden a menudo guardar información confidencial en sus bandejas de entrada. IRM ayuda a salvaguardar información confidencial asegurando que los usuarios cumplan con las políticas corporativas. IRM, el cual se encuentra completamente integrado con Windows 7 Enterprise, otorga a los profesionales de TI más control sobre los mensajes de correo electrónico y documentos confidenciales. Los usuarios de Outlook pueden implementar manualmente IRM para proteger mensajes, y el personal de TI puede crear reglas Outlook para aplicar la protección IRM automáticamente. Implementar el escritorio optimizado de Windows en una organización de cualquier tamaño requiere la estrategia, plan y habilidades correctas para las necesidades específicas del negocio. Microsoft Services ofrece una solución modular con la experiencia y recursos para lograr una migración exitosa a un ambiente de escritorio optimizado de Windows. Por medio de propiedad intelectual comprobada, mejores prácticas a través de cientos de proyectos con clientes, y la colaboración con grupos de productos, Microsoft Services y sus partners pueden ayudar a reducir costos y maximizar el valor de las inversiones en tecnología de la información (TI). Para mayor información sobre estas tecnologías, sírvase visitar www.microsoft.com/latam/enterprise 5
Visite www.microsoft.com/latam/optimized-desktop para descargar resúmenes adicionales de soluciones del Escritorio optimizado de Windows. Sírvase contactar a un representante de Microsoft Soporte y Ventas para mayor información o para realizar un taller ROI de escritorio optimizado de Windows con Microsoft Services. m Este documento se proporciona como está. La información y puntos de vista expresados en este documento, incluyendo vínculos y otras referencias a sitios web, puede cambiar sin previo aviso. Usted asume el riesgo de usarla. Algunos ejemplos provistos en la presente se usan sólo con propósitos ilustrativos y son ficticios. No se pretende ni se debe inferir ninguna asociación o conexión real. Este documento no le provee ningún derecho legal a propiedad intelectual de ningún producto Microsoft. Usted puede copiar y usar este documento para sus propósitos internos como referencia. 2010 Microsoft Corporation. Todos los derechos reservados. Microsoft, BranchCache, Excel, Forefront, Groove, Internet Explorer, OneNote, Outlook, PowerPoint, SharePoint, Windows, y Windows Server son marcas registradas del grupo de compañías de Microsoft. Todas las demás marcas registradas son propiedad de sus respectivos propietarios.