Infraestructuras agiles el corazón de DevOps en it ops

Infraestructura Ágil es una guía de adopción de buenas prácticas creada y organizada por el colectivo de sysadmins a partir de experiencias que implican la automatización y el uso de métodos ágiles. 

La idea principal es que este modelo ayude a los equipos de operación a realizar una transición segura dentro de su infraestructura para un modelo más eficiente y autónomo. 

Los principales fundamentos de la Infraestructura Ágil son la automatización, las métricas y el uso de métodos específicos para el trabajo en equipo 

Desde DevSecOps Argentina les acercamos este ebook, donde usted encontrará un modelo organizado de forma coherente y sencilla para facilitar la adopción e implementación en su empresa

Infraestructuras agiles el corazón de dev ops en it ops from Luciano Moreira da Cruz

E-book Introducción Devops y DevSecOps

Son muchos los beneficios de los DevOps: desde mejorar la calidad del software y el time to market, a reducir el riesgo de cumplimiento. Aun así, la gran pregunta sobre el rol de la seguridad de la información en el proceso se mantiene ahí: estamos viendo un gran intento por parte de las compañías de ir más allá del DevOps y adoptar el DevSecOps, el proceso de envolver información de seguridad en todas las partes del desarrollo de aplicaciones.

Desde DevSecOps Argentina les acercamos una introducción a Devops y DevSecOps en formato E-book para que puedan conocer un poco mas de estas palabras claves en el futuro de IT.

Introduccion a devops y devsecops from Luciano Moreira da Cruz

Espero que disfruten de la lectura, de la misma manera que nosotros en hacerlo

Azure Security Center ahora soporta Windows Server 2016

Microsoft anunció el blog de Azure que el Azure Security Center ofrece ahora soporte completo para Windows servidor 2016. El sistema operativo fue lanzado el pasado mes de septiembre.

El Azure Monitoring Agent, que es utilizado por el centro de seguridad para recopilar metadatos para las máquinas virtuales, ahora es compatible con el Windows Server 2008 R2 y versiones posteriores, incluyendo Windows Server 2016. También es compatible con algunas distribuciones de Linux (consulte la lista aquí ).

El centro de seguridad de Azure utiliza los metadatos para identificar problemas de seguridad, como la falta de actualizaciones y configuraciones que pueden dejar el sistema operativo vulnerable.

También aplica el análisis del comportamiento para detectar actividad maliciosa, como un atacante ejecutando código o intentando acceder a VMs comprometida.

Para activar estas protecciones, visite el centro de seguridad desde el portal Azure, debe habilitar la recopilación de datos y empezar la versión de prueba para análisis del comportamiento y otras características.

Azure Security Center

Con el centro de seguridad Azure, tienes una vista central del estado de la seguridad de todos sus recursos de Azure. Usted puede comprobar rápidamente si se utilizan controles de seguridad adecuados y si se han configurado correctamente. Además, identificar rápidamente los recursos que requieren atención.

Control de la seguridad en la nube

Usted puede establecer políticas para sus suscripciones Azure según las necesidades de su seguridad de su nube empresarial, adaptada a los tipos de aplicaciones o a la confidencialidad de los datos de cada suscripción.
Permiten una gama de soluciones de seguridad de Microsoft y socios, incluyendo a líderes de la industria de firewalls y antimalwares. Utilizar provisioning simplificado para implementar fácilmente soluciones de seguridad – incluso actualizaciones de red están configuradas para usted. Siempre estar preparados para enfrentar amenazas en tiempo real y emergentes en la nube  requiere un enfoque integrado y basada en datos. Combinando la experiencia y la inteligencia global de amenazas de Microsoft con información sobre eventos relacionados con la seguridad de sus implementaciones de nube de Azure, Azure Security Center lo ayuda a detectar que las reales amenazas rápidamente, reduciendo los falsos positivos.

Uso de recomendaciones basadas en la política para dirigir a los dueños de recursos a través del proceso de implementación de los controles necesarios, terminando con la conjetura sobre seguridad en la nube.

Implementar soluciones de seguridad de nube integradas

Además, los eventos de seguridad de soluciones de socios son recogidos automáticamente para el análisis y alertas.

Detectar las amenazas y responder rápidamente

Los alertas de seguridad de la nube proporcionan información sobre los intentos de ataques, incluyendo eventos relacionados y recursos afectados, además de sugerir formas para solucionar los problemas y  la recuperación rápida.

Más información sobre el centro de seguridad Azure, que tiene una versión gratuita y una versión de pago, haciendo clic aquí .

Administración de la seguridad en Azure

Los suscriptores de Azure pueden administrar sus entornos de nube desde diversos dispositivos, incluidas estaciones de trabajo de administración, equipos de desarrollador e incluso dispositivos de usuario final con privilegios que tengan permisos específicos para la tarea. En algunos casos, las funciones administrativas se realizan mediante consolas web tales como Azure Portal. En otros casos, puede haber conexiones directas a Azure desde sistemas locales a través de redes privadas virtuales (VPN), Terminal Services, protocolos de aplicación de cliente o Azure Service Management API (SMAPI). Además, los puntos de conexión de cliente pueden estar unidos a un dominio o aislados y no administrados, como tabletas o smartphones.

Aunque las diversas funcionalidades de administración y acceso proporcionan un amplio conjunto de opciones, esta variabilidad puede suponer un riesgo importante para una implementación en la nube y dificultar la administración, el seguimiento y la auditoría de las acciones administrativas. Esta variabilidad también puede presentar amenazas para la seguridad debidas al acceso no regulado a los puntos de conexión de cliente que se usan para administrar los servicios en la nube. El uso de estaciones de trabajo personales o generales para desarrollar y administrar infraestructuras abre la puerta a amenazas impredecibles que se producen tanto en la exploración web (por ejemplo, ataques a los sitios web más utilizados) como en el correo electrónico (tales como ingeniería social y suplantación de identidad [phishing]).

En este tipo de entorno, el riesgo de ataques es mayor porque es difícil construir las directivas y los mecanismos de seguridad para administrar correctamente el acceso a las interfaces de Azure (como SMAPI) desde puntos de conexión muy diversos.

Amenazas de la administración remota

Para obtener acceso con privilegios, los atacantes intentan comprometer las credenciales de cuenta (por ejemplo, forzando la contraseña, mediante suplantación de identidad [phishing] o recopilando credenciales), o intentan engañar a los usuarios para que ejecuten código perjudicial (por ejemplo, desde sitios web malintencionados con descargas ocultas o desde datos adjuntos de correo electrónico perjudiciales). En un entorno de nube administrado de forma remota, las infracciones de cuenta permiten el acceso desde cualquier lugar y en cualquier momento, lo que provoca un riesgo mayor.

Incluso con controles estrictos en las cuentas de los administradores principales, las cuentas de usuario de niveles inferiores se pueden usar para vulnerar los puntos débiles de la estrategia de seguridad de cada uno. La falta de un aprendizaje de seguridad adecuado también puede provocar infracciones debidas a la revelación o la exposición accidental de información de la cuenta.

Cuando una estación de trabajo de usuario se usa también para realizar tareas administrativas, puede presentar muchos puntos de riesgo distintos, por ejemplo, al explorar la Web, al utilizar herramientas de código abierto y de terceros o al abrir un documento perjudicial que contiene un troyano.

En general, la mayoría de los ataques dirigidos que provocan infracciones de datos pueden rastrearse hasta vulnerabilidades del navegador, complementos (por ejemplo, Flash, PDF, Java) y suplantación de identidad (correo electrónico) en equipos de escritorio. Estos equipos pueden tener permisos de nivel administrativo o de nivel de servicio para tener acceso a los servidores activos o los dispositivos de red para operaciones cuando se usan para el desarrollo o la administración de otros activos.

Fundamentos de la seguridad operativa

Para que la administración y las operaciones sean más seguras, puede minimizar la superficie de ataque de un cliente reduciendo el número de posibles puntos de entrada. Esto puede hacerse a través de los principios de seguridad: "segregación de controles" y "segregación de entornos".

Aislamiento de funciones confidenciales entre sí para reducir la probabilidad de que un error en un nivel dé lugar a una infracción de seguridad en otro. Ejemplos:

• Las tareas administrativas no deben combinarse con las actividades que pueden suponer un riesgo (por ejemplo, un malware en el correo electrónico de un administrador que luego infecte un servidor de la infraestructura).
• Una estación de trabajo que se usa para operaciones de alta confidencialidad no debería estar en el mismo sistema que se usa para acciones de alto riesgo, como explorar Internet.

Reducción de la superficie de ataque del sistema mediante la eliminación de software innecesario. Ejemplo:

• Por ejemplo, una estación de trabajo administrativa, de soporte técnico o de desarrollo estándar no debería requerir la instalación de un cliente de correo electrónico o de otras aplicaciones de productividad si la finalidad principal del dispositivo es administrar servicios en la nube.

Sistemas cliente que tienen acceso de administrador a los componentes de la infraestructura deben estar sujetos a la directiva más estricta posible para reducir los riesgos de seguridad. Ejemplos:

• Entre las directivas de seguridad pueden incluirse la configuración de directiva de grupo que deniega el acceso a Internet abierto desde el dispositivo y el uso de una configuración restrictiva de firewall.
• Uso de redes VPN con protocolo de seguridad de Internet (IPsec) si se necesita acceso directo.
• Configuración de dominios de Active Directory de desarrollo y administración independientes.
• Aislamiento y filtrado del tráfico de red de las estaciones de trabajo de administración.
• Uso de software antimalware.
• Implementación de la autenticación multifactor para reducir el riesgo de credenciales robadas.

La consolidación de los recursos de acceso y la eliminación de puntos de conexión no administrados también simplifica las tareas de administración.

Seguridad para la administración remota de Azure

Azure proporciona mecanismos de seguridad para ayudar a los administradores que administran servicios en la nube y máquinas virtuales de Azure. Estos mecanismos incluyen:

• Autenticación y control de acceso basado en rol.
• Supervisión, registro y auditoría.
• Certificados y comunicación cifrada.
• Un portal de administración web.
• Filtrado de paquetes de red.

Además de configurar la seguridad del lado cliente y de implementar una puerta de enlace de administración en el centro de datos, es posible restringir y supervisar el acceso de administrador a datos y aplicaciones en la nube.

Estación de trabajo protegida para administración

El objetivo de proteger una estación de trabajo es eliminar todas las funciones excepto las más necesarias para que funcione, reduciendo así al mínimo la superficie de ataque. Para proteger el sistema se minimiza también el número de servicios y aplicaciones instalados, se limita la ejecución de aplicaciones, se restringe el acceso de red a lo estrictamente necesario y el sistema se mantiene siempre actualizado. Además, el uso de estaciones de trabajo protegidas para la administración aísla las herramientas y las actividades administrativas de las demás tareas del usuario final.

Dentro de un entorno empresarial local, puede limitar la superficie de ataque de la infraestructura física mediante redes de administración dedicadas, salas de servidores con acceso por tarjeta y estaciones de trabajo que se ejecutan en las áreas protegidas de la red. En un modelo de TI de nube o híbrido, ser diligente con los servicios de administración segura puede resultar más complejo debido a la falta de acceso físico a los recursos de TI. La implementación de soluciones de protección requiere una cuidadosa configuración del software, procesos centrados en la seguridad y directivas completas.

Usar una huella digital de software minimizada con privilegios mínimos en una estación de trabajo bloqueada para la administración en la nube, así como para el desarrollo de aplicaciones, normaliza los entornos de desarrollo y administración remota y reducir el riesgo de incidentes de seguridad. La configuración de una estación de trabajo protegida puede ayudar a cerrar muchas de las vías vulnerables normalmente usadas por el malware, lo que ayuda a evitar riesgos en las cuentas que se usan para administrar recursos de nube críticos. En concreto, puede usar Windows AppLocker y la tecnología Hyper-V para controlar y aislar el comportamiento del sistema de cliente y mitigar las amenazas, incluido el correo electrónico o la exploración de Internet.

En una estación de trabajo protegida, el administrador ejecuta una cuenta de usuario estándar (que impide la ejecución en el nivel administrativo) y las aplicaciones asociadas se controlan mediante una lista de permitidos. Los elementos básicos de una estación de trabajo protegida son los siguientes:

• Análisis y revisión activos. Implementar software antimalware, realizar un análisis regular de vulnerabilidades y actualizar todas las estaciones de trabajo con la actualización de seguridad más reciente de manera oportuna.
• Funcionalidad limitada Desinstale todas las aplicaciones que no sean necesarias y deshabilite los servicios innecesarios (inicio).
• Protección de la red. Use reglas de Firewall de Windows para permitir solo direcciones IP, puertos y direcciones URL válidos relacionados con la administración de Azure. Asegúrese de bloquear también las conexiones remotas entrantes a la estación de trabajo.
• Restricción de la ejecución. Permita solo el conjunto de archivos ejecutables predefinidos que se necesitan para realizar la administración (lo que se conoce como "denegación predeterminada"). De forma predeterminada, se deberá denegar el permiso a los usuarios para ejecutar cualquier programa a menos que esté definido explícitamente en la lista de permitidos.
• Privilegios mínimos. Los usuarios de las estaciones de trabajo de administración no deben tener privilegios administrativos en el propio equipo local. De este modo, no pueden cambiar la configuración del sistema ni los archivos del sistema, ya sea intencionadamente o por accidente.

Para aplicar todo esto, puede usar objetos de directiva de grupo (GPO) en Active Directory Domain Services (AD DS) y aplicarlos mediante su dominio de administración (local) a todas las cuentas de administración.

Administración de servicios, aplicaciones y datos

La configuración de servicios en la nube de Azure se realiza mediante el Portal de Azure o SMAPI, mediante la interfaz de línea de comandos de Windows PowerShell o mediante una aplicación personalizada que aprovecha estas interfaces de RESTful. Los servicios que usan estos mecanismos son Azure Active Directory (Azure AD), Almacenamiento de Azure, Sitios web de Azure y Red virtual de Azure, entre otros.

Máquina virtual: las aplicaciones implementadas proporcionan sus propias herramientas e interfaces de cliente según sea necesario, como Microsoft Management Console (MMC), una consola de administración empresarial (Microsoft System Center o Windows Intune) u otra aplicación de administración (Microsoft SQL Server Management Studio, por ejemplo). Estas herramientas suelen residir en una red de cliente o en un entorno empresarial. Pueden depender de protocolos de red específicos, como el Protocolo de escritorio remoto (RDP), que requiere conexiones directas con estado. Algunos pueden tener interfaces habilitadas para web que no se deben publicar ni ser accesibles a través de Internet.

Puede restringir el acceso a la administración de los servicios de infraestructura y plataforma en Azure mediante la autenticación multifactor, los certificados de administración X.509 y las reglas de firewall. El Portal de Azure y SMAPI requieren Seguridad de capa de transporte (TLS). Sin embargo, los servicios y las aplicaciones que implemente en Azure requieren que tome medidas de protección adecuadas en función de la aplicación. Estos mecanismos se suelen habilitar más fácilmente mediante una configuración de estación de trabajo protegida estándar.

Puerta de enlace de administración

Para centralizar todo el acceso administrativo y simplificar la supervisión y el registro, puede implementar un servidor de Puerta de enlace de Escritorio remoto dedicado en su red local, conectado a su entorno de Azure.

Puerta de enlace de Escritorio remoto es un servicio de proxy RDP basado en directivas que aplica requisitos de seguridad. La implementación de Puerta de enlace de Escritorio remoto junto con Windows Server Network Access Protection (NAP) ayuda a garantizar que solo podrán conectarse los clientes que cumplen los criterios de mantenimiento de seguridad específicos establecidos por Servicios de dominio de Active Directory (AD DS) y Objetos de directiva de grupo (GPO). Además:

• Aprovisione un certificado de administración de Azure en Puerta de enlace de Escritorio remoto para que sea el único host con permiso para acceder al Portal de administración de Azure.
• Una Puerta de enlace de Escritorio remoto al mismo dominio de administración que las estaciones de trabajo de administrador. Esto es necesario cuando se usa una VPN IPsec de sitio a sitio o ExpressRoute dentro de un dominio que tenga una confianza unidireccional con Azure AD, o si federa las credenciales entre su instancia de AD DS local y Azure AD.
• Configure una directiva de autorización de conexión de cliente para que Puerta de enlace de Escritorio remoto pueda comprobar si el nombre de la máquina cliente es válido (unido a un dominio) y tiene permiso para acceder al Portal de administración de Azure.
• Use IPsec para que la VPN de Azure pueda proteger aún más el tráfico de administración contra la interceptación y el robo de tokens, o podría usar un vínculo a Internet aislado mediante Azure ExpressRoute.
• Habilite la autenticación multifactor (mediante Azure Multi-Factor Authentication) o la autenticación de tarjeta inteligente para los administradores que inician sesión mediante Puerta de enlace de Escritorio remoto.
• Configure las restricciones de direcciones IP de origen o los grupos de seguridad de red en Azure para minimizar el número de puntos de conexión de administración permitidos.

Directrices de seguridad

En general, para ayudar a proteger las estaciones de trabajo de administrador para su uso con la nube se usan procedimientos muy similares a los usados para cualquier estación de trabajo local, por ejemplo, compilación minimizada y permisos restrictivos. Algunos aspectos únicos de la administración en la nube son más parecidos a la administración remota o empresarial fuera de banda. Estos incluyen el uso y la auditoría de credenciales, el acceso remoto con seguridad mejorada y la detección de amenazas y respuesta a las mismas.

Autenticación

Puede usar las restricciones de inicio de sesión de Azure para impedir que direcciones IP de origen tengan acceso a herramientas administrativas y solicitudes de acceso de auditoría. Para ayudar a Azure a identificar los clientes de administración (estaciones de trabajo o aplicaciones), puede configurar SMAPI (mediante herramientas desarrolladas por el cliente tales como cmdlets de Windows PowerShell) y el Portal de administración de Azure para que requieran la instalación de certificados de administración del lado cliente, además de los certificados SSL. Se recomienda también que el acceso de administrador requiera autenticación multifactor.

Algunas aplicaciones o servicios que se implementan en Azure pueden tener sus propios mecanismos de autenticación para el acceso de usuario final y de administrador, mientras que otras aprovechan toda la funcionalidad de Azure AD. Dependiendo de si desea federar credenciales mediante Servicios de federación de Active Directory (AD FS), usar la sincronización de directorios o mantener las cuentas de usuario únicamente en la nube, el uso de Microsoft Identity Manager (parte de Azure AD Premium) lo ayuda a administrar los ciclos de vida de las identidades entre los recursos.

Conectividad

Existen varios mecanismos para ayudar a proteger las conexiones de cliente de las redes virtuales de Azure. Dos de estos mecanismos, VPN de sitio a sitio (S2S) y VPN de punto a sitio (P2S), permiten usar el estándar del sector IPsec (S2S) o el Protocolo de túnel de sockets seguros (SSTP) (P2S) para el cifrado y la tunelización. Cuando Azure se conecta a la administración de servicios de Azure accesibles desde Internet, como el Portal de administración de Azure, Azure requiere el protocolo HTTPS.

Una estación de trabajo protegida independiente que no se conecta a Azure mediante Puerta de enlace de Escritorio remoto debe usar VPN de punto a sitio basada en SSTP para crear la conexión inicial a la Red virtual de Azure y, después, establecer la conexión RDP a las máquinas virtuales individuales desde el túnel VPN.

Auditoría de administración y aplicación de directivas

Normalmente, hay dos enfoques para proteger los procesos de administración: auditoría y aplicación de directivas. Ambos proporcionarán controles completos, pero pueden no ser posibles en todas las situaciones. Además, cada método tiene distintos niveles de riesgo, costo y esfuerzo asociados con la administración de la seguridad, especialmente en relación con el nivel de confianza en las personas y las arquitecturas del sistema.

La supervisión, el registro y la auditoría proporcionan una base para el seguimiento y la descripción de las actividades administrativas, pero puede que no siempre sea factible auditar todas las acciones con detalle debido a la cantidad de datos generados. Sin embargo, auditar la efectividad de las directivas de administración es un procedimiento recomendado.

La aplicación de directivas que incluyen controles estrictos de acceso coloca mecanismos de programación que rigen la acciones del administrador, y ayuda a garantizar que se están usando todas las medidas de protección posibles. El registro proporciona una prueba de cumplimiento, además de un registro de quién hizo qué, desde dónde y cuándo. El registro también permite auditar y verificar la información acerca de cómo los administradores usan las directivas, y proporciona pruebas de las actividades.

Configuración de cliente

Se recomiendan tres configuraciones principales para una estación de trabajo protegida. Los principales puntos de diferencia entre ellas son el costo, la facilidad de uso y la accesibilidad, pero el perfil de seguridad es similar en todas las opciones. La tabla siguiente proporciona un breve análisis de las ventajas y los riesgos de cada una. (Observe que "equipos corporativos" hace referencia a una configuración de PC de escritorio estándar que se puede implementar para todos los usuarios del dominio, independientemente de sus roles).

Es importante que la estación de trabajo protegida sea el host y no el invitado, y que no haya nada entre el sistema operativo host y el hardware. Para seguir el "principio del origen limpio" (también conocido como "origen seguro"), el host debe estar lo más protegido posible. De lo contrario, la estación de trabajo protegida (invitado) puede ser objeto de ataques en el sistema en el que se hospeda.

Puede separar aún más las funciones administrativas mediante imágenes de sistema dedicadas para cada estación de trabajo protegida, que solo tengan las herramientas y los permisos necesarios para administrar determinadas aplicaciones de Azure y en la nube, con GPO de AD DS locales específicos para las tareas en la nube.

Para los entornos de TI que carecen de infraestructura local (por ejemplo, sin acceso a una instancia de AD DS local para los GPO porque todos los servidores se encuentran en la nube), un servicio como Microsoft Intune puede simplificar la implementación y el mantenimiento de configuraciones de estación de trabajo.

Estación de trabajo protegida independiente para administración

Con una estación de trabajo protegida independiente, los administradores tienen un equipo o un portátil que usan para las tareas administrativas, y otro equipo o portátil diferente para las tareas no administrativas. Una estación de trabajo dedicada para administrar los servicios de Azure no necesita tener otras aplicaciones instaladas. Además, el uso de estaciones de trabajo que admiten un Módulo de plataforma segura (TPM) o una tecnología de criptografía de nivel de hardware similar ayuda a autenticar dispositivos e impedir ciertos ataques. TPM también admite la protección del volumen completo de la unidad del sistema mediante Cifrado de unidad BitLocker.

En el escenario de la estación de trabajo protegida independiente (se muestra a continuación), la instancia local de Firewall de Windows (o un firewall de cliente no sea de Microsoft) está configurada para bloquear las conexiones entrantes, como RDP. El administrador puede iniciar sesión en la estación de trabajo protegida e iniciar una sesión de RDP que se conecta a Azure después de establecer una conexión de VPN con una Red virtual de Azure, pero no puede iniciar sesión en un equipo corporativo ni usar RDP para conectarse a la propia estación de trabajo protegida.

Equipo corporativo como máquina virtual

En aquellos casos en los que una estación de trabajo independiente protegida sea muy cara o no resulte conveniente, la estación de trabajo protegida puede hospedar una máquina virtual para llevar a cabo tareas no administrativas.

Para evitar varios riesgos de seguridad que pueden surgir del uso de una estación de trabajo para la administración de sistemas y otras tareas del trabajo diario, puede implementar una máquina virtual de Windows Hyper-V en la estación de trabajo protegido. Esta máquina virtual puede usarse como equipo corporativo. El entorno del equipo corporativo puede permanecer aislado del host, lo que reduce la superficie de ataque y evita que las actividades diarias del usuario (por ejemplo, el correo electrónico) coexistan con tareas administrativas importantes.

La máquina virtual del equipo corporativo se ejecuta en un espacio protegido y proporciona aplicaciones de usuario. El host sigue siendo un "origen limpio" y aplica directivas de red estrictas en el sistema operativo de raíz (por ejemplo, bloqueo del acceso RDP desde la máquina virtual).

Windows To Go

Otra alternativa al uso de una estación de trabajo protegida independiente es usar una unidad Windows To Go, una característica que admite la funcionalidad de arranque USB del lado cliente. Windows To Go permite a los usuarios iniciar un equipo compatible con una imagen de sistema aislada ejecutando desde una unidad flash USB cifrada. Proporciona controles adicionales para los puntos de conexión de administración remota porque la imagen se puede administrar totalmente con un grupo de TI corporativo, con directivas de seguridad estrictas, una compilación de sistema operativo mínima y compatibilidad con TPM.

En la ilustración siguiente, la imagen portátil es un sistema unido a un dominio que está preconfigurado para conectarse únicamente a Azure, requiere autenticación multifactor y bloquea todo el tráfico no sea de administración. Si un usuario inicia el mismo equipo con la imagen corporativa estándar e intenta obtener acceso a las herramientas de administración de Azure mediante Puerta de enlace de Escritorio remoto, se bloqueará la sesión. Windows To Go se convierte en el sistema operativo del nivel raíz y no se necesitan capas adicionales (sistema operativo host, hipervisor, máquina virtual) que pueden ser más vulnerables a ataques del exterior.

Es importante tener en cuenta que las unidades flash USB se pierden más fácilmente que un equipo de escritorio promedio. Si se utiliza BitLocker para cifrar todo el volumen junto con una contraseña segura, se reducen las probabilidades de que un atacante pueda usar la imagen de la unidad con fines malintencionados. Además, si se pierde la unidad flash USB, puede revocar y emitir un nuevo certificado de administración, y restablecer la contraseña rápidamente, para reducir la exposición. Los registros de auditoría administrativa residen en Azure, no en el cliente, lo que reduce aún más las posibles pérdida de datos.

Prácticas recomendadas

Tenga en cuenta las siguientes directrices adicionales cuando administre aplicaciones y datos en Azure.

Consejos

No dé por sentado que si una estación de trabajo está bloqueada ya no es necesario cumplir otros requisitos de seguridad comunes. El riesgo potencial es mayor debido a los niveles de acceso con privilegios elevados que normalmente poseen las cuentas de administrador. En la tabla siguiente se muestran ejemplos de riesgos y los procedimientos de seguridad alternativos.

Operaciones de Azure

Dentro de las operaciones que Microsoft realiza con Azure, los ingenieros de operaciones y el personal de soporte técnico que tienen acceso a los sistemas de producción de Azure usan equipos de estación de trabajo protegidos con máquinas virtuales aprovisionadas en ellos para el acceso a las aplicaciones y a la red corporativa interna (como correo electrónico, intranet, etc.). Todos los equipos de estación de trabajo de administración tienen TPM, la unidad de arranque del host está cifrada con BitLocker y están unidas a una unidad organizativa (OU) especial en el dominio corporativo principal de Microsoft.

La protección del sistema se aplica mediante la directiva de grupo, con actualizaciones de software centralizadas. Para auditoría y análisis, los registros de eventos (por ejemplo, seguridad y AppLocker) se recopilan desde estaciones de trabajo de administración y se guardan en una ubicación central.

Además, en la red de Microsoft se usan cuadros de salto dedicados que requieren autenticación en dos fases para conectarse a la red de producción de Azure.

Lista de comprobación de seguridad de Azure

Reducir el número de tareas que los administradores pueden realizar en una estación de trabajo protegida le ayudará a minimizar la superficie de ataque en su entorno de administración y desarrollo. Use las siguientes tecnologías para ayudar a asegurar su estación de trabajo protegida:

• Protección de Internet Explorer. El explorador Internet Explorer (o, en este caso, cualquier explorador web) es un punto de entrada clave para el código perjudicial debido a sus amplias interacciones con servidores externos. Revise las directivas de cliente y aplique la ejecución en modo protegido, la deshabilitación de complementos, la deshabilitación de descargas de archivos y el uso del filtrado Microsoft SmartScreen. Asegúrese de que se muestran las advertencias de seguridad. Aproveche las ventajas de las zonas de Internet y crear una lista de sitios de confianza para los que ha configurado una protección razonable. Bloquee todos los demás sitios y el código en el explorador, como ActiveX y Java.
• Usuario estándar Trabajar como usuario estándar ofrece una serie de ventajas, la principal es que dificulta el robo de las credenciales de administrador mediante software malintencionado. Además, una cuenta de usuario estándar no tiene privilegios elevados en el sistema operativo raíz, y muchas opciones de configuración y API están bloqueadas de forma predeterminada.
• AppLocker. Puede usar AppLocker para restringir los programas y los scripts que los usuarios pueden ejecutar. Puede ejecutar AppLocker en modo auditoría o cumplimiento. De forma predeterminada, AppLocker tiene una regla de permiso que permite a los usuarios que tengan un token de administrador ejecutar todo el código en el cliente. Esta regla existe para impedir que los administradores se bloqueen a sí mismos y solo se aplica a los tokens con privilegios elevados. Consulte también el tema sobre la integridad del código, que forma parte de la seguridad fundamental de Windows Server.
• Firma del código. La firma del código de todas las herramientas y scripts que usan los administradores es un mecanismo fácil de administrar para la implementación de directivas de bloqueo de aplicaciones. Los valores hash no se escalan con cambios rápidos al código y las rutas de acceso de archivo no proporcionan un alto nivel de seguridad. Debe combinar reglas de AppLocker con una directiva de ejecución de PowerShell que solo permita la ejecución de código y scripts específicos firmados.
• Directiva de grupo. Cree una directiva administrativa global que se aplique a cualquier estación de trabajo del dominio que se use para administración (y bloquee el acceso de todas los demás), así como a las cuentas de usuario autenticadas en esas estaciones de trabajo.
• Aprovisionamiento con seguridad mejorada. Proteja la imagen de su estación de trabajo protegida de referencia contra la manipulación. Use medidas de seguridad tales como cifrado y aislamiento para almacenar imágenes, máquinas virtuales y scripts, y restrinja el acceso (quizás con un proceso de inserción y extracción del repositorio que se pueda auditar).
• Aplicación de revisiones. Mantenga una compilación coherente (o use imágenes diferentes para desarrollo, operaciones y otras tareas administrativas), examine de forma rutinaria si hay cambios y malware, mantenga la compilación al día y active los equipos solo cuando se necesiten.
• Cifrado. Asegúrese de que las estaciones de trabajo de administración tengan TPM para habilitar Sistema de cifrado de archivos (EFS) y BitLocker de forma más segura. Si usa Windows To Go, utilice solo llaves USB cifradas junto con BitLocker.
• Gobierno. Use GPO de AD DS para controlar todas las interfaces de Windows de los administradores, como el uso compartido de archivos. Incluya las estaciones de trabajo de administración de procesos de auditoría, supervisión y registro. Realice un seguimiento del acceso y uso de los administradores y programadores.

Resumen

Usar una configuración de estación de trabajo protegida para administrar los servicios en la nube de Azure, las máquinas virtuales y las aplicaciones puede ayudarle a evitar muchos riesgos y amenazas que pueden derivar de la administración remota de la infraestructura de TI esencial. Tanto Azure como Windows proporcionan mecanismos que puede emplear para ayudar a proteger y controlar el comportamiento de las comunicaciones, la autenticación y los clientes.

¿Es la nube para mí empresa?

¿Sera la Nube una alternativa más barata que mantener sus servicios en servidores locales (on-premises)? Eso es lo que voy a intentar contestar con este artículo.

El uso de cloud computing ha crecido considerablemente, especialmente en los países del 1° mundo. Hay varios tipos de cloud computing, desde la infraestructura básica para la creación de máquinas virtuales también conocido como IaaS, a la entrega de aplicaciones completas como un servicio, también llamado SaaS.

En Argentina todavía existe un cierto miedo hacia el alquiler de servicios. En Latinoamérica nos han acondicionados que la casa alquilada es un mal negocio, es importante tener siempre a la propiedad del bien. De alguna manera este prejuicio existe también en las empresas, especialmente en las pequeñas y medianas empresas. Veo muchos clientes girando la nariz cuando se le entrega una cotización y el producto especificado es una suscripción y no una compra perpetua. Terminan haciendo una evaluación del proyecto basado en cuestiones subjetivas sin siquiera hacer las cuentas.

En el caso de cloud computing es lo mismo. La evaluación debe hacerse de la técnica hasta la económica, teniendo en cuenta tanto escenarios, on-premises y de nube. Como siempre me gusta hablar en las reuniones con los clientes

"no existe el escenario perfecto, solo existe la solución específica para cada escenario"

Vamos a los números

Tomemos como ejemplo un escenario donde el cliente necesita un servidor de correo Exchange Server. Teniendo en cuenta un escenario simple para 50 usuarios, sin alta disponibilidad con un servidor de 32 GB y discos SAS en RAID 5, que soporte hasta 50 GB de almacenamiento por buzón y todavía tenga espacio para el sistema operativo. También considere la estructura de backup con el software de Arcserve Backup o parecido, más espacio de almacenamiento para el almacenamiento de las copias de seguridad y también todas las licencias necesarias de Windows Server y más costos de certificados etc...

Teniendo en cuenta todo eso podemos llegar a un costo total estimado de 20.000,00 USD

En los años de experiencia, pude observar que aunque los fabricantes recomienden un cambio cada 3 años la mayoría de los clientes renuevan su estructura de servidores de 5 en 5 años. Así que para encontrar el costo total de propiedad (TCO) para que podamos comparar con la nube, dividimos el total por 5, obteniendo un costo anual de 4.000,00 USD

Seguramente ahora estarían preguntando ¿Y cuánto saldría en la nube? Teniendo en cuenta la tabla de Microsoft para contratos abiertos de septiembre de 2016, cada plan de licencia 01 de Exchange Online en Office 365 sale alrededor de 4,00 USD por usuario/año. Si consideramos que son 50 usuarios, el costo por año total sería 250,00 USD, es decir, la solución en la nube tiene un costo de propiedad mucho más interesante que la solución On-premises y aún reduce la carga de forma impresionante de su personal de IT, derivando la responsabilidad de la seguridad, respaldo, energía, aire acondicionado y etc, a Microsoft. (como nuestro servicio de seguro)

Veamos ahora otro escenario.

Digamos que necesita un entorno de recuperación ante desastres para sus máquinas virtuales, y estas máquinas deben tener un tiempo de RTO (Recovery Time Objective) y RPO (Recovery Point Objective) bajo.

Para fines de Ilustración, asumamos que su entorno está formado por un servidor con 32 GB de memoria, 4 máquinas virtuales con 6 GB. Supongamos que todo este entorno se ejecuta sobre el Hyper-v 2012.

Tienes dos opciones para montar este escenario de recuperación ante desastres. Una es usando Hyper-v replica para la duplicación de las máquinas a un sitio secundario como una sucursal de su empresa. En este escenario debe considerar tener un enlace dedicado y un ambiente adecuado para esta máquina.

Otra opción es utilizar la nube de Microsoft Azure. En este ambiente necesita solamente un enlace dedicado de la casa matriz para implementar la comunicación con la nube.

En la primera opción, un servidor con estas especificaciones suele costar hasta unos 10.400,00 USD sin contar los costos ocultos que normalmente no son tomados en cuenta al momento de una licitación: (alquiler de un sitio nuevo de no contar con una sucursal o mismo la asignación/adecuación de ese espacio en una sucursal existente, el mantenimiento y todos los servicios para mantenerlo disponible como luz, conexión, seguridad física, personal y todo lo relacionado para que el mismo este disponible al momento de un incidente. llegando a sumar entre 30.000,00 o 40.000,00 USD mas al año.

Con Azure, según calculadora Azure, tendrá un costo mensual estimado de 690,00 USD, con relación solo a la duplicación. En el caso de un incidente, usted tendrá un costo adicional de 0,29 USD por hora de cada máquina que este prendida.

para mas información sobre como hacer la duplicación de máquinas virtuales de Hyper-V en Azure mediante Azure Site Recovery click aqui

¿creo que quedo claro, la solución más barata o no?

¿Entonces la nube a nivel costo es el mejor camino casi siempre?

No necesariamente. Hay situaciones donde una solución local es la más adecuada, por ejemplo, aplicaciones que requieren un gran ancho de banda o los clientes que se encuentran en lugares de difícil acceso a Internet.

Sin embargo, siempre tenga en cuenta que, al menos, es posible un entorno híbrido, que permitiría una reducción de costo para usted.

Deja tu comentario abajo o visítenos si tiene alguna pregunta.

www.baufest.com

Como convertirte en un experto cloud certificado de Microsoft

Microsoft sin duda hoy es uno de los grandes proveedores de soluciones de TI y más cuando hablamos de Cloud en Argentina, por eso es muy importante que los profesionales obtengan sus certificaciones, siendo así un profesional certificado, así uno consigue mayor visibilidad, credibilidad y principalmente aumenta su rentabilidad, seas un proveedor de servicios o mismo empleado.

En este post voy a tratar de describir:

• Como estudiar para las certificaciones Microsoft gratis
• Algunos consejos de materiales de estudio
• Links de acceso a cursos gratuitos

¿Cuál es la importancia de una certificación Microsoft?

Mi compañero Christian Ibiri el cual obtuvo en los últimos años varias certificaciones de Microsoft dice el cual yo respaldo: ponga foco primero en dominar la tecnología o producto para el cual uno quiere la certificación y solo después pensé en la certificación.

“Ser un profesional certificado es muy importante, pero más importante es dominar el producto y tecnología que desea la certificación. Así que antes de pensar en las certificaciones de Microsoft, piense en cómo se siente seguro con el producto que desea certificar”

Si entendiste este punto ya podemos hablar de la importancia de la certificación.

Tener una certificación significa que el fabricante ha puesto a prueba su conocimiento y da garantías al mercado que tú eres capaz de trabajar con el producto o la tecnología a la que se certificó. En el caso de Microsoft, tener una certificación le hará tener una diferencia de miles de profesionales.

Pasemos a los consejos:

Antes de comenzar a leer sobre los consejos, es importante definir cuál es el camino que desea seguir para convertirse en un profesional Microsoft certificado.

Entre https://www.microsoft.com/en-us/learning/training.aspx  y seleccione una categoría. Nuestros consejos se aplican a todos ellas. Pero especialmente veremos las que nos preparen para el mundo Cloud de Microsoft.

1. Utilice Microsoft Virtual Academy

El Microsoft Virtual Academy (MVA), no es más que una herramienta sensacional para el e-learning que Microsoft creó. Además de varios cursos gratuitos que pueden ayudar mucho en su carrera, hay cursos específicos para prepararse para la certificación. A continuación, recomendaremos algunos:

MCSA Windows Server 2012

La certificación más buscada por el que empieza en el mundo Microsoft.

Para convertirse en un MCSA en Windows Server 2012, debe pasar los exámenes 70-410, 70-411 y 70-412. A continuación, los enlaces para estudiar con el programa MVA.

70-410

70-411

70-412

MCSA Office 365

Office 365 es la solución de comunicación y colaboración en la nube de Microsoft. Sus ventas han aumentado mucho en los últimos años, lo que hace importante contar con profesionales capacitados en el área.

Para convertirse en un MCSA en Office 365 uno necesita aprobar los exámenes 70-346 y 70-347. A continuación, comentamos los cursos de MVA que te prepara para estas certificaciones.

• https://mva.microsoft.com/en-US/training-courses/office-365-fundamentals-8288?l=yy4ZYGXy_2404984382
• http://mva.microsoft.com/training-courses/office-365-deployment-for-it-pros
• http://mva.microsoft.com/training-courses/managing-exchange-online-using-powershell
• http://mva.microsoft.com/training-courses/managing-office-365-identities-and-services
• http://mva.microsoft.com/training-courses/managing-exchange-online-using-microsoft-online-console
• http://mva.microsoft.com/training-courses/office-365-security-compliance-exchange-online-protection
• http://mva.microsoft.com/training-courses/data-loss-prevention-in-office-365
• http://mva.microsoft.com/training-courses/encryption-in-office-365

Architecting Microsoft Azure Solutions

El MVA es una excelente fuente de información. Use y abuse del campo de búsqueda para encontrar los cursos relacionados con los productos que desea certificar, más allá de sólo los cursos de preparación.

2. Estudie Ingles

Parece obvio, pero los mejores materiales gratuitos para estudiar para una certificación de Microsoft están disponibles sólo en inglés. Es esencial que al menos puedas leer bien en inglés.

Si no dominas, al menos, la lectura en inglés y luego invertir tiempo en aprender el idioma.

3. ampliar sus conocimientos

En el primer consejo puse algunos enlaces de los cursos en MVA para preparar los exámenes, pero es interesante que uno pueda ampliar sus conocimientos.

¿Tiene la intención de hacer el MCSA Windows Server 2012? Así, que además de estudiar con los enlaces, podes buscar Windows Server 2012 y realiza los cursos de MVA que creen que están relacionados con Windows Server.

Recuerde que es más importante dominar el producto que simplemente memorizar y pasar la prueba. Más tarde, cuando se tiene que brindar un servicio o conseguir un trabajo, se cobrará su conocimiento de la herramienta y no la nota la certificación.

4. Google es el mejor amigo del hombre

Esta es otra de esas recomendaciones trilladas, pero es importante destacar, siempre buscar el contenido del estudio en Google. ¿Usted necesita certificar el 70-461? Buscar en Google y listo.

5. El que quiere celeste que le cueste

¡Escapar de los atajos! Nada Dumps preguntas memorizadas o similares. Como hemos dicho antes, lo que importa es el conocimiento de que usted tenga y no solo la certificación. El momento de la verdad, cuando se tiene que resolver un problema, lo que cuenta es su conocimiento y no si usted tiene o no la certificación. ¡El más importante es el estudio!

Si usted cree que no va a tener la disciplina necesaria para estudiar para la Certificación Microsoft como estoy proponiendo, busque un centro de formación autorizado https://www.microsoft.com/en-us/learning/find-partner.aspx

6. ¿Ninguna máquina para crear laboratorios de estudio? podes utilizar Microsoft Virtual Labs

Microsoft tiene una característica realmente buena para los que no tienen una máquina con todas las especificaciones requeridas para crear laboratorios y poner en práctica lo que uno estudia. Es Technet Laboratorios virtuales. https://technet.microsoft.com/en-us/virtuallabs

En este sitio usted encontrará una serie de laboratorios listo para poner a prueba su conocimiento. Es una característica sensacional y muy sencillo de utilizar.

La falta de recursos ya no es una excusa para no hacer su certificación Microsoft.

Conclusión

Es esencial que un profesional de IT que use las tecnologías de Microsoft en su trabajo en el día a día, se moleste en especializarse y obtener una certificación de Microsoft.

Más de 15 años de experiencia en el campo me han demostrado que el mercado paga si por profesionales certificados y están de acuerdo en pagar más por este tipo de profesionales.

Es evidente que sólo la certificación no ayuda. Hoy en día un profesional debe tener una formación multidisciplinar.

A continuación, dejo algunos consejos valiosos para los que empiezan su carrera en IT.

• La preocupación en primer lugar con su carrera y luego hacer dinero.
• Lee sobre temas fuera de su área de especialización. Preocuparse por su cultura.
• ¡Escribir un montón! Crear un blog, publicar sus ideas y crear tutoriales para aquellos que están empezando.
• Participar en foros profesionales tipo de Microsoft.
• Busque grupos de usuarios de tecnología o producto que desea mejorar, Facebook y Linkedin.
• Colocar una prioridad en el estudio de inglés. Tener fluidez en el idioma abre muchas puertas.
• Ser un experto en un producto no debe ser un impedimento para aprender sobre otros. El conocimiento nunca es demasiado.
• Estar centrado primero en obtener experiencia y luego dinero. Busque oportunidades de trabajo donde se puede obtener una gran cantidad de experiencia y estar en contacto con profesionales con más experiencia, incluso si eso significa ganar poco.
• Tenga en cuenta que el estudio en la agenda de un profesional de IT es para siempre. Mantenga sus certificaciones actualizadas.

Activación de licencias de Office 365

Muchos clientes están migrando sus licenciamiento de Office Standar y Office Professional para nube, la compra de Office 365 Business o oficina 365 Pro Plus, respectivamente. Este proceso de compra trajo un cambio completo en la forma en que se activan las licencias. Ahora, en lugar de tener un número de serie para la activación de la licencia, Microsoft pondrá la activación de Office 365 con la validación de la licencia con el inicio de sesión de usuario en la nube. 

En este artículo vamos a ver cómo funciona la activación de Office 365 adquiridas a través de contrato de volumen (Open Value o Open) y cómo funciona el proceso de instalación del software. 

La activación de Office 365

En el antiguo modelo de compra de licencias de Office a través de los contratos de volumen, el proceso de compra siguia el siguiente flujo de la activación de la licencia: 

1. pedido de licencia colocado en la reventa 
2. El cliente recibe un correo electrónico para crear su cuenta en el sitio de licencias de Microsoft ( VLSC ) caso no tenga todavia
3. El cliente debe iniciar sesión en el sitio VLSC 
4. Ir al enlace de descarga y claves encontrar la licencia que fue comprado 
5. Descargar la ISO y copiar la clave de instalación 
6. Hacer la instalación de la ISO y activar con la clave copiada

En el modelo de concesión de licencias a través de la nube, como la activación de la licencia de Office 365 cambio. Ahora la activación ya no se produce a través de un número de activación (número de serie), pero en línea con la conexión del usuario. 

Después de hacer la compra Office 365 a través de un distribuidor de Microsoft (Baufest por ejemplo :)), pocos días después de la orden, usted recibirá un correo electrónico como la imagen de abajo. Recordando que este correo electrónico será enviado al correo electrónico que indique cómo el administrador de Office 365.

Cuando el administrador hace clic en el enlace del correo electrónico se abrirá una página en la que debe seleccionar una de estas opciones: 

1. Ya tiene una cuenta para mi organización
2. Necesito crear una cuenta nueva para mi organización utiliza 

Si ya tiene Office 365 en su empresa, cualquiera que sea el plan, va a utilizar la primera opción y los registros con los datos del usuario al administrador de su Office 365. Si su empresa no tiene aún Office 365, haga clic en la segunda opción.

Si la compra se realizó en el programa Open License, verás una página que le pedirá que acepte los términos y condiciones del programa. Usted debe hacer esto antes de activar sus servicios en línea. Escriba su nombre completo y haga clic en Acepto. 

Si no está en el programa Open License o alguien en su organización ya ha aceptado estos términos y condiciones, puede que no vea esta página, sólo tiene que pasar a la siguiente etapa.

Ahora ya estás listo para activar sus servicios en línea. Encontrer el servicio en línea que desea habilitar, si hubiera más de uno en la lista y haga clic en Iniciar activación.

Esto le llevará a una página para el servicio en línea que ha seleccionado.

Vamos a mostrar como esto funciona para Office 365.

Comenzar a configurar su nuevo servicio en línea 

En este ejemplo, el cliente hace clic en Iniciar activación de una nueva suscripción de Office 365. Esto le llevará a una pantalla de configuración de Office 365.

1. Selecciono entiendo. Soy la persona adecuada para estar haciendo esto para mi organización. 
2. Haga clic en Inicio 

El sistema entrara automáticamente con la clave de producto para su nuevo servicio en línea. Haga clic en Siguiente.

Compruebe que la información (número de licencias) es correcta y haga clic en Canjear. 

Si ya tiene licencias de Office 365 en uso en su organización, la pantalla que verás dirá la cantidad de licencias que tiene, se indicará la fecha de su expiración y le preguntará si desea agregar las nuevas licencias a activar. Puede añadir nuevas licencias para sus suscripciones actuales (aumentando el número total de las mismas) o utilizarlas para extender la fecha de vencimiento de sus suscripciones actuales sin añadir nuevas. Realice la selección que desee y haga clic en Siguiente.

La pantalla mostrará el número de licencias que haya activado. Estas licencias estarán disponibles para asignar a los usuarios. A continuación, el sistema le pedirá sus datos de contacto y solicitara la creación de un dominio temporal como xxxxx.onmicrosoft.com. Esto es necesario porque, como se mencionó anteriormente, la activación de licencias se basa en el usuario y no en clave de activación. Los usuarios también podrán utilizar su correo electrónico en Office 365 pueden migrar su dominio para el entorno de Microsoft. Ya los clientes de Office Business y Office Pro no tienen esta necesidad.

La instalación de licencias Office 365 

Ahora que ya tenemos las licencias de Office 365 activas y configurado su entorno dentro del centro de datos de Microsoft, lo que necesita para crear sus usuarios e instalar las licencias de Office 365. 

Como dijimos anteriormente, Office 365 no usa una clave de instalación o ISO. El proceso de instalación es totalmente nuevo. Vamos a ver cómo funciona. 

El primer paso es la creación de usuarios. Para ello, vaya http://portal.office.com e inicie sesión con una cuenta con derechos administrativos. A continuación, haga clic en el menú de la izquierda en Usuarios> Usuarios activos.

Haga clic en el signo + para añadir un nuevo empleado. Se le pedirá la información básica para este nuevo empleado y usted tendrá que proporcionar una contraseña o pedir que el sistema genere una. Recuerde que puede dar la opción al usuario para cambiar esta contraseña automáticamente cuando se inicie la sesión por primera vez. 

 En el momento de crear el usuario puede asignar Oficina 365 licencias que se desea para él. 

Después de que el usuario creado, simplemente solicite al usuario que acceda a http://portal.office.com en la máquina que será instalado el Office, inicie la sesión con la cuenta que se creó para el usuario. Si no redirigir a la página de descarga de Office 365, haga clic en el menú de arriba a la derecha en un símbolo similar a una rueda dentada como la siguiente imagen y luego haga clic en configuraciones Office 365

Luego, en el menú de la izquierda, haga clic en Software y entonces y sólo tienes que seguir las instrucciones. Recuerde que no se puede instalar Office 365 Business o Office 365 Pro Plus en Windows XP.