Protegiendo la Mac con tarjetas inteligentes en un entorno Windows
01 July, 2009
category: Seguridad lógica
A medida que las agencias y corporaciones adoptan computadoras Mac, un software le permite a las tarjetas de acceso común, FIPS 2001 y .NET registrarse de forma segura mediante el Active Directory de Windows
Hacer que las computadoras Mac funcionen en un mundo de Windows nunca ha sido fácil. Sin embargo, a medida que las compañías privadas y agencias gubernamentales de Estados Unidos agregan las Macs a su entorno, hay una necesidad creciente de herramientas que les permitan funcionar, fácilmente y con seguridad, en el mundo de las PC. Los retos son especialmente difíciles en entornos Windows con requisitos de alta seguridad, como cuando se necesita utilizar la autenticación de dos factores mediante tarjetas inteligentes para acceder a los datos en una computadora personal.
Centrify Corp., una empresa con sede en Sunnyvale, California, ofrece una solución que le permite a los administradores de TI usar en las Macs las mismas herramientas de administración y políticas de seguridad que tienen los usuarios en Windows, asegura David McNeely, director de gestión de producto de Centrify.
Centrify se da cuenta de que hay un número creciente de corporaciones y agencias gubernamentales que usan Macs, dice McNeely. Por ejemplo, la vicepresidenta de una corporación tiene su MacBook y quiere que ésta sea compatible con el software que utiliza su personal de TI. Pero, en lugar de tener administradores de TI diferentes para PCs y Macs, especialmente en estos difíciles tiempos económicos, se necesita tener un solo administrador para ambos sistemas operativos.
Al usar el DirectControl de Centrify para la Mac OS X, las agencias pueden añadir computadoras Mac a su existente infraestructura de Active Directory de Microsoft Windows. Esto les permite administrar centralmente la autenticación, autorización y configuración de los sistemas de la Mac OS X, así como restringir el entorno de escritorio del usuario. El DirectControl ha estado disponible por más de tres años, aclara McNeely. Ha sido instalado en las compañías de Fortune 1000 y es utilizado por clientes federales.
Centrify auspició un seminario por Internet – 2 de junio – sobre DirectControl y cómo puede ser usado para la autenticación fuerte con tarjetas inteligentes, incluyendo la Tarjeta de Acceso Común del Departamento de Defensa de Estados Unidos, otras credenciales FIPS 201 y las tarjetas .NET que prefieren las empresas del sector privado..
Apple ofrece un complemento (plug-in) para que las Macs puedan funcionar en el Active Directory de Windows. No obstante, para poder administrar las configuraciones de seguridad, preferencias y controles de aplicación, los administradores de PC necesitan usar un grupo de herramientas de Apple aparte, explica McNeely. “Con DirectControl, los administradores pueden usar en las Macs las mismas herramientas administrativas del Active Directory que usan en Windows”, agrega.
Centrify tiene la capacidad de gestionar lo mismo una PC que una Mac en un entorno de seguridad típico, donde solo se usa el nombre de usuario y una contraseña para la autenticación, y permite además usar en la Mac las tarjetas inteligentes, como aquellas exigidas por la directiva HSPD-12, alega McNeely.
McNeely explica que, en un entorno PC, la tarjeta inteligente se inserta en un lector, se introduce el PIN y el controlador de dominio valida el certificado PKI (infraestructura de clave pública) y le permite al usuario registrarse y acceder, de forma ininterrumpida, a otros sistemas integrados al Active Directory. DirectControl ofrece la misma funcionalidad con una Mac.
“La experiencia del usuario es la misma”, añade. “El administrador de PC solo tiene que instalar DirectControl en la Mac y poner en funcionamiento una Política de Grupo que permita el registro de tarjetas inteligentes en el Active Directory”. La Política de Grupo configura el registro de tarjetas inteligentes y las claves de keychain de Mac para las Autoridades de Certificados almacenadas en el Active Directory, explica McNeely, permitiendo así el registro (en y fuera de Internet) al Active Directory con una tarjeta inteligente.