1 / 30

Publicación de Aplicaciones

HOL-WIN67. Publicación de Aplicaciones. Juan Garrido Consultor Seguridad I64 http://windowstips.wordpress.com http://www.informatica64.com. Microsoft Windows Server 2008 R2. Servicios de Escritorio Remoto (Terminal Services ). Agenda. Introducción Aplicaciones Remotas

gratia
Download Presentation

Publicación de Aplicaciones

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. HOL-WIN67 Publicación de Aplicaciones • Juan Garrido • Consultor Seguridad I64 • http://windowstips.wordpress.com • http://www.informatica64.com Microsoft Windows Server 2008 R2. Serviciosde EscritorioRemoto (Terminal Services)

  2. Agenda • Introducción • Aplicaciones Remotas • Acceso a aplicaciones • TS Web Access • RDP • MSI • TSGateway • Problemática de nuestros clientes y partners • Rol Gateway • Autenticación • Integración con TS Web Access

  3. Terminal Services en Windows Server 2008 R2 • Mejorar la seguridad y la agilidad Oficinacorporativa OficinaCasera Presentation Virtualization with Terminal Services • Gestión de aplicaciones simplificada (actualizaciones solo en el servidor) • Mas fácil de cumplir con las regulaciones de seguridad en datos (sin datos en local) • Proporciona acceso corporativo a aplicaciones y datos vía una pagina Web segura. • Mejora la productividad y flexibilidad del empleado • Integración de las aplicaciones remotas en el escritorio local mejora la productividad • Menos gestión de datos y aplicaciones en la oficina remota • Aeropuerto.– Acceso sencillo y seguro sin problemas de VPN vía una Web Segura En Cualquier Parte OficinaRemota

  4. Servicios de Terminal en Windows Server 2008 R2 El nuevo desarrollo de TS en W2k8R2 se ha focalizado en 2 áreas claves • Mejorar la plataforma y permitir el valor añadido de los partners • Mejorar la experiencia a los escenarios menos complejos

  5. Resumen de Sub-Roles TS en Windows Server 2008 R2 TS RemoteApps MMC . Active Directory TS Web TS License Access Server TS Session TS Gateway Load Broker ( RDP + SSL ) + RDP + SSL ( RPC + HTTPS ) ( 3389 ) ( 443 ) Publish fichero RDP al paquete MSI MSI con fichero RDP empujado al escritorio Iniciar “RemoteApps “ desde el menu de inicio o el escritorio Iniciar “RemoteApps” desde una página Web ActiveX Obtener fichero RDP Publicar fichero RDP al Servidor TS TS Server Balancer TS Server Forzado de Políticas de Accesos Remoto

  6. Terminal ServicesRemoteApp™ • Parece que los programas se ejecutan en local • Solo soportado con el Cliente Remoto V6 • La consola “RemoteApp” se usa para hacer que las aplicaciones estén disponibles • También se usa para que las aplicaciones estén disponibles vía “TS Web Access” (Acceso Web” • Aplicaciones Remotas integradas en el equipo local • Configuración centralizada del servidor de terminales desde la consola Requiere el cliente de acceso remoto Terminal Server

  7. Ventajas • Despliegue de aplicaciones sencillo y rápido • Gestión Central de aplicaciones de Negocio. • Despliegue ligero de aplicaciones de trabajo intensivo con datos • Acceso desde cualquier parte a los programas • Planificación en etapas de la actualización de aplicaciones • Consolidación de aplicaciones • Se integra con los programas locales • Arrastrar y Soltar (Beta 3) • Integración con al bandeja del Sistema • Dispositivos Locales y Ficheros Disponibles

  8. Instalación y configuración • Instalar el Role con el Server Manager • Instalar las aplicaciones • Si la aplicación NO se instala con un paquete de instalación de Windows • changeuser /install • Instalar aplicación • changeuser /execute • Realizar configuraciones globales del servidor • Añadir programas a la lista para publicarlos

  9. Instalar TS RemoteApps Remote Apps

  10. TS Web Access • Publicación o despliegue de aplicaciones a través de una pagina Web.

  11. TS Web Access • Requiere que IIS este instalado en el equipo • Solo es una página WEB, NO proporciona ningún tipo de canal de comunicaciones como en el caso de TS Gateway • El cliente ha de ser Vista SP1 o W2K8 • Finalmente desde la RC0: • Ya NO admite dos tipos de despliegue • Despliegue Sencillo • Despliegue mediante Directorio Activo • No se puede personalizar en función del usuario.

  12. Publicación de aplicaciones • Puede ser mediante paquetes RDP o MSI • RDP es simplemente un fichero con los parámetros de conexión • MSI es un mínimo paquete de instalación del RDP • Se pueden publicar simplemente compartiéndolos en un directorio o mediante el sistema de distribución de software que queramos • El AD es muy útil para desplegar estas aplicaciones personalizando en función del usuario.

  13. Publicación con TS Web Access Generación e instalación RDP Generación y publicación MSI Certificar RDP Acceso a las aplicaciones

  14. TS Web Access vs TS Gateway • TS Web Access proporcinal una interface web sencilla para lanzar aplicaciones • TS Web Access NO proporciona el tunel de transporte RDP.

  15. Enunciado del Problema “Quiero proporcionar a mis empleados, socios de negocio, y clientes acceceso seguro…” …a ___________ Solucionado con TS Gateway • Reduce el despliegue en cliente y los costos de gestión • Proporciona acceso desde mas sitios • Mayor control y seguridad a los administradores …Tipo de red___________ …desde___________ Mensajeria: Email y IM 1 PC Gestionado A X Mucho ancho de banda Sitios Web Intranet/Aplicaciones 2 B PC no Gestionado Y Poco ancho de banda Ficheros y Documentos 3 Acceso Offline Z C Otro sistema Aplicaciones de negsocio Cliente/Servidor 4 Aplicaciones de Servicios Web 5

  16. Comparativa de Soluciones PPTP o L2TP/IPSec Ilimitado. Acceso total a la Red TS+TS Gateway IP sobre SSL Nivel de Accesode Red Solo paraNavegadores HTTP-Proxy Outlook - RPC/HTTPS Accesolimitado con control granular Dispositivos No Gestionados DispositivosGestionados PC Casero PC Partner PC Corporativo Kiosk Tipo de Dispositivo de Acceso No-Client-State Client State

  17. Mejoras frente a soluciones VPN • Los usuarios pueden acceder a las aplicaciones corporativas y los equipos corporativos desde el navegador de Internet • Amistoso con equipos de Casa • Cruza firewalls y NATs (w/ HTTPS:443) • Control de acceso granular en el perímetro • Políticas de Autorización de Conexión • Políticas de Autorización a Recursos (RAP)

  18. TS Gateway Remote Access DMZ Red Interna Internet TunelRDP sobre RPC/HTTPS Deshace el RPC/HTTPS PasatráficoRDP/SSL al TS Terminal Server Firewall Interno Firewall Externo Casa Terminal Server Internet Other RDP Hosts Hotel Terminal Services Gateway Server Network Policy Server Active Directory DC Business Partner/ Client Site

  19. TS Gateway Con TS Web Access • El host RDP se puede situar tras un Firewall • HTTP/S se usa para atravesar el Firewall • Se chequean AD / ISA / NAP antes de permitir la conexión • El escritorio y las aplicaciones no se ejecutan dentro de IE AD / IAS / NAP Chequeo AD / IAS / NAP TS Gateway Cliente (TS) Vista RDC Terminal Servers o XP / Vista RDP Sobre HTTP/S se establece a TSG RDP 3389 a host El usuario inicia la conexión HTTPS al TS Gateway El Usuario navega a TS Web Access TS Web Access DMZ Red Interna Network Internet

  20. Seguridad Fuerte • Autenticación mediante contraseña o smartcards • Usa cifrado estándar de la industria (SSL, HTTPS) • El tráfico RDP sigue cifrado de extremo a extremo desde el cliente al servidor • La salud del equipo cliente se puede chequear mediante NAP • Se puede terminar el trafico SSL en dispositivos intermedios para detectar intrusiones o filtrar en la DMZ

  21. DespliegueInstalación • Instalar el Role TS Gateway • Obtener un Certificado para el Servidor TS Gateway • Configurar el Certificado en IIS • Crear una política de acceso de clientes (CAP) • Crear una política de acceso a equipos (RAP) • Limitar el numero de conexiones por el TS Gateway (Opcional) • Monitorizar las conexiones por el TS Gateway

  22. Instalación y configuración TS Gateway

  23. Planificación para Despliegue Licenciamiento • Se debe desplegar un servidor de licencias de TS 2008 • TS solo funcionara durante 180 días sin no se activa el SL • El SL 2008 puede usarse con servidores de terminal 2003 y sus claves • Hay que instalar las licencias antes de 90 días en cualquier SL • Claves de Prueba se pueden conseguir para B3 en http://licensecode.one.microsoft.com • Las licencias de los dispositivos son tracedas y obligadas • Actualizar el SL y el TS antes de los 180 días / 90 días en que expira. • Las conexiones fallarán si se usan licencias de dispositivos • Las licencias de los usuarios son traceadas • Se permitirán las conexiones aun después de los 180 / 90 días • Un informe indicara que se esta fuera de plazo Actualizar y obtener claves RTM cuando este disponible

  24. Planificación para Despliegue • Recuerda que el nombre del certificado ha de coincidir con el servidor: • El certificado del Gateway ha de coincidir con el nombre externo de la máquina • Los certificados de acceso Web tienen que coincidir con el nombre externo del sitio cuando se usa HTTPS – considerar el uso de HTTP internamente • Un certificado SSL puedes ser usado para firmar RDP (No se necesita otro certificado) • Los certificados comodín pueden usarse para simplificar , pero ojo con los riesgos.

  25. Planificación para el despliegueClientes • El cliente viene de serie en Windows Vista • Necesaria la actualización del cliente XP • http://www.microsoft.com/downloads/details.aspx?FamilyID=26f11f0c-0d18-4306-abcf-d4f18c8f5df9&DisplayLang=en • Para Mac • http://www.microsoft.com/mac/downloads.aspx?pid=download&location=/mac/download/MISC/RDC2.0_Public_Beta_download.xml • En todos los casos es necesario que el cliente confíe en el certificado del TS Gateway, cualquiera que sea este

  26. Recursos • Guía paso a paso TS RemoteApp • http://www.microsoft.com/downloads/details.aspx?familyid=518D870C-FA3E-4F6A-97F5-ACAF31DE6DCE&displaylang=en • Technical Library • http://technet2.microsoft.com/windowsserver2008/en/library/61d24255-dad1-4fd2-b4a3-a91a22973def1033.mspx?mfr=true • Terminal Server Blog • http://blogs.msdn.com/ts/default.aspx • Foro • http://forums.microsoft.com/TechNet/ShowForum.aspx?ForumID=580&SiteID=17

  27. Recursos • Guía paso a paso TS Gateway • http://www.microsoft.com/downloads/details.aspx?familyid=518D870C-FA3E-4F6A-97F5-ACAF31DE6DCE&displaylang=en • Technical Library • http://technet2.microsoft.com/windowsserver2008/en/library/47a23a74-e13c-46de-8d30-ad0afb1eaffc1033.mspx?mfr=true • Terminal Server Blog • http://blogs.msdn.com/ts/default.aspx • Foro • http://forums.microsoft.com/TechNet/ShowForum.aspx?ForumID=580&SiteID=17

  28. http://Windowstips.wordpress.com

  29. TechNews de Informática 64 • Suscripción gratuita en technews@informatica64.com

  30. Contactos • Informática 64 • http://www.informatica64.com • i64@informatica64.com • +34 91 146 20 00 • Profesor Juan Garrido Caballero • jgarrido@informatica64.com • http://windowstips.wordpress.com

More Related