La digitalización que se ha requerido en todos los campos de producción ha creado un aumento constante en el número de estaciones de trabajo informatizadas y dispositivos digitales utilizados en cualquier fase y departamento de producción. En muchos casos, estas estaciones de trabajo se basan en el sistema operativo Microsoft Windows, conocido por prácticamente todos los usuarios finales y adoptado por muchos administradores de TI. En particular, con la llegada de las distribuciones Embedded/IoT (ahora Windows 10 IoT Enterprise), Microsoft también ha conquistado el mundo industrial, reservando a los fabricantes de EOM mayores posibilidades de personalización, mayores sistemas de seguridad y licencias más asequibles.
Esta repentina difusión de estaciones de trabajo digitales ha obligado a todas las empresas a dotarse, interna o externamente, de personal de administración y asistencia informática para la gestión de la infraestructura y, más concretamente, está imponiendo la necesidad de una gestión eficiente, «rentable» y escalable para todos los dispositivos, para garantizar siempre los más altos niveles de seguridad y conciliar las necesidades de TI con las necesidades operativas y de producción de la empresa.
En cuanto a las estaciones de trabajo basadas en Windows, estas pueden ofrecer muchas ventajas, especialmente en términos de compatibilidad. Sin embargo, en comparación con el mundo Linux, pueden presentar a los administradores de TI algunos desafíos más en términos de seguridad de TI, gracias a su fuerte difusión y, a veces, a su escalabilidad, lo que requiere operaciones extremadamente complejas para automatizar la gestión de TI en cientos o incluso miles de estaciones de trabajo de los usuarios finales.
Por eso, en Praim hemos innovado aún más los productos dedicados a los departamentos de TI para la gestión centralizada y automatizada de estaciones de trabajo basadas en Windows. A través de la consola de gestión Praim ThinMan Advanced ahora es posible controlar el proceso de actualización automática de Microsoft en todas las estaciones de trabajo Windows equipadas con el agente Praim Agile (en los Thin Clients Windows 10 IoT de Praim) o Praim Agile4PC (en cualquier otro dispositivo Windows, ya sea un Thin Client de terceros o un computador portátil/PC).
Esta funcionalidad se suma a muchas otras ofertas por Agile y coordinadas centralmente por ThinMan, para optimizar y simplificar la configuración de las estaciones de trabajo Windows y hacerlas más seguras y gestionables a largo plazo, incluyendo, en particular: Desktop Lockdown, la distribución de paquetes de instalación de software y comandos, la distribución de certificados de seguridad y configuraciones, y muchos más.
Echemos un vistazo más de cerca a estas nuevas funciones que satisfacen las necesidades de las empresas que buscan eficiencia y flexibilidad en la gestión de grandes flotas de endpoints basados en el sistema operativo Microsoft Windows.
Desktop Lockdown
El Desktop Lockdown limita el acceso a las innumerables funciones que el sistema operativo y otras aplicaciones instaladas ponen a disposición del escritorio y permite al usuario utilizar sólo los programas reservados para él. Por lo tanto, es un método de configuración que tiene como objetivo simplificar y enfocar el uso de la estación de trabajo, de modo que se dedique a tareas únicas o específicas seleccionadas, como suele ser necesario en muchos contextos de trabajo. Esto hace que sea más fácil utilizar las aplicaciones elegidas y más difícil cometer errores o comprometer el sistema (intencionalmente o accidentalmente) en términos de seguridad y configuración.
Este tipo de configuración es útil, por ejemplo, si se desea crear un quiosco de información, un punto de venta o una estación de trabajo junto a la máquina para controlar el software de producción, o también para configurar sistemas que puedan ser utilizados por los usuarios de una lugar público o por distintos operadores accediendo a una misma estación de la empresa. En la oficina, sin embargo, el Desktop Lockdown puede hacer que el uso de una estación de trabajo dedicada sea más fácil y seguro, como las de los mostradores de bancos u oficinas públicas, especialmente cuando diseñadas para el acceso remoto a escritorios virtuales (VDI).
Hay varios modos de implementar el Desktop Lockdown y varían según el sistema operativo utilizado. Para obtener este resultado con Windows se requiere un conocimiento muy profundo del sistema y se deben aplicar innumerables configuraciones, políticas del sistema y otras modificaciones específicas (por ejemplo, introducción, eliminación o modificación de determinadas claves de registro) relativas a todo el sistema o solo a usuarios individuales. En Windows 10, por ejemplo, se deben establecer una serie de reglas a través de la Local Security Policy and Local Group Policy. En general es necesario al menos:
- Crear un nuevo usuario y seleccionarlo para iniciar sesión automáticamente;
- Restringir las operaciones accesibles mediante secuencias de entrada (por ejemplo, “Ctrl-Alt-Supr”);
- Reemplazar el shell predeterminado de Windows (explorer.exe) con una aplicación propia;
- Administrar cómodamente las aplicaciones de inicio automático y los privilegios de los usuarios.
Utilizando Agile, en cambio, se tiene una alternativa rápida y completa que además tiene muchas más posibilidades de configuración y personalización de la interfaz de usuario final. A través del agente Agile distribuido en los Thin Clients Praim (y también disponible en la versión Agile4PC para PC y portátiles ya adquiridos) es posible activar el modo Desktop Lockdown sin tener que realizar las operaciones anteriores. La configuración también será aplicable de forma remota y centralizada mediante la consola de gestión ThinMan y podrá replicarse con unos pocos clics en un número ilimitado de dispositivos Windows con Agile.
Instalación de software y comandos remotos
A partir del sistema Windows 7, Microsoft ha hecho posible utilizar el servicio PowerShell Remoting para iniciar dispositivos PowerShell o invocar scripts en computadores remotos (clientes). Una vez conectado al PowerShell del cliente, estarán disponibles todas las funciones clásicas de esta herramienta, por ejemplo: la posibilidad de montar recursos compartidos de red para intercambiar archivos, realizar instalaciones, etc.
Es una funcionalidad muy poderosa que permite realizar y administrar muchas acciones y comandos de forma centralizada desde el servidor, generalmente útil para los departamentos de TI para automatizar el mantenimiento, la configuración y la actualización de flotas de endpoints, incluso los distribuidos geográficamente.
Sin embargo, para lograr este objetivo, además de conocer PowerShell, también es necesario realizar un complejo conjunto de operaciones, tanto en el lado del servidor como en el del cliente, para establecer una comunicación segura entre la estación de trabajo (quizás remota) y el servidor. Entre otras cosas, se tiene que habilitar PowerShell Remoting, los servicios WinRM en el servidor (manualmente o mediante GPO, si es parte de un Dominio), establecer reglas de firewall para acceder a conexiones remotas, editar la lista de dispositivos confiables («trusted host»), etc.
Los dispositivos equipados con Agile, en cambio, pueden recibir paquetes de instalación de software de terceros mediante un procedimiento sencillo coordinado por la consola ThinMan, aprovechando las conexiones seguras entre la consola y los clientes Praim. De esta manera, un procedimiento complejo se convierte en una acción inmediata y elemental para el administrador de TI o su equipo de asistencia técnica. Los administradores de ThinMan (a quienes se les pueden proporcionar varios privilegios a través de la función Access Control List – ACL) pueden realizar configuraciones, instalar y actualizar software en todos los dispositivos cliente de Windows, directamente desde la consola, en grupos o en estaciones de trabajo individuales. No solo eso, pueden hacer que estas tareas se ejecuten en un evento (por ejemplo, cuando el dispositivo está encendido) o de forma programada, y aun así clasificar los dispositivos según el estado de la actividad (por ejemplo, programado, ya realizado con éxito o fallido).
Administrar las actualizaciones de Windows
ThinMan y Agile ofrecen dos nuevas funciones para facilitar también el control y la aplicación de las actualizaciones automáticas de Windows.
De hecho, el servicio Windows Update está siempre activo en los dispositivos Windows de las diferentes versiones y coordina la descarga, instalación y aplicación de nuevas actualizaciones específicas de la versión, de forma totalmente autónoma y controlada por Microsoft. Esta característica, que tiene la ventaja de mantener los dispositivos siempre actualizados, en ocasiones puede afectar el proceso de gestión de la infraestructura de TI corporativa. Esto sucede, en particular, en situaciones en las que las estaciones de trabajo digitales se utilizan para la producción y actividades operativas críticas para la organización. Las actualizaciones de Windows, de hecho, requieren el uso de ancho de banda en la red para descargarse y, si se aplican automáticamente, pueden provocar uno o más reinicios de la estación de trabajo, en momentos y con tiempos que no siempre se pueden controlar. Además, las actualizaciones descargadas pero aún no aplicadas pueden afectar el funcionamiento del dispositivo, ralentizándolo hasta que las instales. Finalmente, si el dispositivo tuviera el Write Filter activo (como ocurre en muchas estaciones de trabajo del entorno empresarial, para evitar cambios en el disco) las actualizaciones de Windows podrían descargarse y repetirse continuamente.
Por tanto, en el entorno corporativo, si por un lado es necesario mantener siempre actualizadas las estaciones de trabajo, por otro esto debe hacerse totalmente bajo el control del administrador TI, para que éste pueda realizar el mantenimiento de forma flexible y personalizada, en línea con los ciclos de producción, las necesidades o prioridades del negocio. Tanto el uso de la red como las operaciones derivadas de la actualización que se realicen en cada dispositivo deben poderse realizar en momentos y periodos concretos identificados por el administrador por motivos de optimización, uniformidad dentro del parque de máquinas y sobre todo para evitar interrupciones durante el trabajo de los colaboradores.
Sin embargo, pasar del modo automático de Windows Update a un uso flexible y personalizado, controlado de forma centralizada, es una actividad compleja que requiere configuraciones específicas en cada dispositivo. Además, esto debe hacerse en armonía con las demás características del dispositivo, como la presencia del Write Filter. Lograr esto con comandos y políticas no sólo es complejo, sino que también es costoso en términos de trabajo de los colaboradores y requiere precisión para garantizar la coherencia.
A través de ThinMan y Agile, por otro lado, es posible bloquear o desbloquear las actualizaciones automáticas de Windows en dispositivos individuales o grupos, con un clic. Una vez deshabilitadas las actualizaciones en modo automático, es posible controlar la aplicación de las disponibles de forma flexible y personalizada, siempre con un clic, eligiendo en qué dispositivos y en qué momento se deben descargar y aplicar las actualizaciones. De hecho, ThinMan también permite hacerlo de forma masiva y automatizada, a través de actividades planificadas o basadas en eventos. Por lo tanto, será posible controlar, según las necesidades específicas, todas las actividades de mantenimiento y actualización, sin correr el riesgo de posponerlas «indefinidamente» o tener que detener la producción para actividades informáticas masivas. Además, a través de ThinMan también es posible cargar paquetes individuales de actualización de Microsoft (paquetes “Windows Update Standalone” con extensión “.msu”) para enviarlos e instalarlos en dispositivos equipados con Agile/Agile4PC, a través de la función de Instalación de software de terceros ahora extendida. ThinMan permite distribuir estos paquetes de actualización en los dispositivos deseados en sincronización con los sistemas de protección de discos, todo para el administrador de TI en una sola operación y sin tener que renunciar nunca a la seguridad.
Conclusión
Estas nuevas funcionalidades se suman a todos los servicios que Agile y ThinMan ya ofrecen para la gestión centralizada de las estaciones de trabajo, haciéndolas completamente seguras y controlables por el administrador TI, de forma centralizada y con el mínimo esfuerzo (es decir, máxima eficiencia). Con ThinMan, la automatización de las actividades de gestión de dispositivos corporativos se vuelve simple y rápida, permitiendo rápidamente al personal de TI llevar a cabo las diversas funciones de adeministración, protección, configuración y asistencia de manera uniforme y escalable en toda la flota de endpoints.
Reducir la complejidad para ofrecer cada vez mayor eficiencia y seguridad es el objetivo detrás de nuestras innovaciones de productos. En un contexto industrial donde la tecnología digital aumenta constantemente y los recursos humanos de TI son valiosos y a menudo sobrecargados, queremos apoyar a los clientes con soluciones esenciales para optimizar los tiempos, garantizar la eficiencia y la uniformidad y, de hecho, reducir los costes de gestión de la infraestructura corporativa.
