"Modo XP": Demostrando que la seguridad nunca es la primer prioridad de Microsoft.

Tal y como Chet Wisniewski reportó previamente, hemos visto cómo Microsoft ha hecho buenos progresos en la seguridad de sus productos, desde las meteduras de pata del "UAC" (Usser Account Control, en Win Vista), hasta el "Kernel Patch Protection" y el "Security Development Lifecycle".

Sin embargo, el "Modo XP" nos recuerda a todos que la seguridad nunca será la principal prioridad para Microsoft. Ellos sólo lo harán lo suficientemente seguro como para asegurarse que las preocupaciones de seguridad no sean una barrera para las ventas, pero tampoco tanto que detenga el "progreso". En Sophos, vivimos ó morimos basado en nuestra capacidad de entregar seguridad efectiva, en Microsoft no. Así que cuando se pone ésto en la balanza, la Seguridad saldrá perdiendo.

El "Modo XP" proporciona compatibilidad de Windows XP al crear una PC virtual, corriendo ese sistema conocido y probado, dentro de tu escritorio de Windows 7. Así, todas tus aplicaciones XP son soportadas, al correr en ese ambiente.
El nivel de integración es tal que la mayoría de los usuarios ni siquiera se enterarán de que el XP está ahí. El Modo XP tiene sentido y debería ayudar a las organizaciones a hacer la transición de Windows XP a Windows 7. Esto es particularmente importante para Microsoft, ya que la mayoría de nosotros no compramos Vista. Microsoft no puede arriesgarse a que despreciemos también su última encarnación de Windows.

El problema es que Microsoft no proporciona management para la máquina virtual (VM) XP. Esto crea un potencial para un desastre de seguridad. El Modo XP es una instancia independiente de Windows, que comparte folders y dispositivos con la instalación anfitriona de Windows 7. Lo que no comparte es memoria y procesos. O sea que no comparte ajustes de seguridad, software de seguridad, parches, etc. No hereda ninguna seguridad de su anfitrión. Cuando tú usas el Modo XP, necesitarás aplicar parches a la copia de XP así como a la del anfitrión Windows. También debes administrar los ajustes por separado, configurando DOS firewalls, e instalar y administrar DOS copias de anti-malware (anti-virus, anti-espías, etc.).

Así que, seguramente la nueva Microsoft que se preocupa por la seguridad debe haber proporcionado herramientas para ayudarnos a administrar todo esto, ¿verdad?  ¡NO!  Microsoft lo ve como que: "es TU problema a menos de que estés preparado para invertir en todo un sistema completo Virtual Desktop Infrastructure (VDI). Tú ya sabes cómo administrar máquinas virtuales (VM) en tus computadoras de escritorio ¿no? Pues entonces debes de saber cómo administrar esto también".

Desafortunadamente, la mayoría de nosotros no sabemos cómo administrar VMs en el escritorio. Por eso es que la virtualización no se ha logrado popularizar tal y como a desarrolladores como VMWare y Citrix les hubiera gustado. La virtualización en el escritorio tiene un tremendo potencial como el futuro de la computación en el extremo de la cadena, pero muchas organizaciones tratan de bloquear el uso de VMs en el escritorio, precisamente porque administrarlas es aún, caro y complicado.

Entonces, ¿cuáles son nuestras opciones?

1.-Quedarse con Windows XP.
2.-Migrar a Windows 7 y bloquear el uso del "Modo XP" -si es que no tienes aplicaciones antiguas XP-.
3.-Migrar a Windows 7 y adoptar el "Modo XP". Asegúrate de entender los costos. Cada VM necesita ser administrada justo como cualquier otra PC física, así que ahora estarás administrando el doble de PC's que las que administrabas antes. Todas ellas deberán ser unidas a tu dominio, configuradas, aseguradas y parchadas. Incidentalmente, eso no sólo es parchar dos sistemas operativos, sino también dos browsers (IE6 e IE8).

1.-Asumiendo que siempre despliegues el Modo XP centralmente conforme vas migrando PCs a Windows 7, y preinstales software de seguridad, entonces también deberás pensar en el impacto que tendrán en el performance (memoria, procesador, ancho de banda, disco) las dos instalaciones de software de seguridad, qué aplicaciones correrán en qué ambiente, así como los asuntos de licencias. Las licencias no son un problema con los productos de Sophos, pero checa con tus otros proveedores.

2.-Si tú aún no sabes dónde está cada máquina virtual de Modo XP en cada PC que toca tu red, entonces adicionalmente deberás de encontrarlas. Por ejemplo, si los usuarios instalan el Modo XP por ellos mismos, ó lo hace algún proveedor, tú probablemente no podrás detectar las máquinas virtuales remotamente. El Control de Acceso a la Red puede ayudar, pero eso es otra historia.

3.-Migrar a Windows 7, e implementar un sistema completo Virtual Desktop Infrastructure (VDI), hay varias opciones para esto, pero ni te imagines que va a ser gratis.

4.-Demandar que Microsoft haga ésto mejor - entendemos que Microsoft no es una compañía de seguridad, pero el Modo XP así como es, no llena el requisito. Es una barrera contra la migración a Windows 7, pues incrementa los costos y la complejidad.

Sin duda que hay gente en Microsoft extremadamente competente y que está apasionada con la seguridad, pero ellos no van a enlentecer la locomotora de Windows 7. Sophos no puede hacer eso, tampoco, pero quizas tú sí. El Modo XP no es una mala idea, pero sin administración interna incluída es un desastre en la seguridad. Necesitamos todos decirle a Microsoft que sus opciones actuales de no-administración ó la inversión mayor en VDI son inaceptables. Luego, necesitamos recordar que, sin importar lo bien intencionados que sean, los de Microsoft nunca pondrán a la Seguridad primero.

Por: Richard Jacobs, Chief Technology Officer, Sophos
Posteado el 17-Julio-2009 por Richar Jacobs, Sophos.

Artículo traducido por E.Dominguez. colaborador de TuDecides.com.mx