No se si alguien habrá tenido que eliminar algún buzón desconectado en Exchange Server 2007, pero desde la consola gráfica ya no es posible ejecutar esta acción. Lo que en Exchange Server 2003 se resolvía con un simple clic en purgar con el botón derecho en el buzón desconectado que queriamos eliminar, lo cierto es que con Exchange 2007 la cosa se ha complicado un poquito.

Para empezar tenemos que averiguar el GUID del buzón, para ello ejecutamos lo siguiente:

• Get-MailboxStatistics | where-object { $_.DisconnectDate -ne $null } | Select DisplayName,MailboxGuid

Ahora borramos el buzón haciendo referencia al GUID

• Remove-Mailbox -Database <Database-Name> -StoreMailboxIdentity <MailboxGuid> -confirm:$false

Tambien podemos seleccionar un grupo de buzones, guardar el resultado en una variable y eliminarlos todos en un solo paso

• $buzones = Get-MailboxStatistics | where-object { $_.DisconnectDate -ne $null } | Select DisplayName,MailboxGuid
• $buzones | ForEach { Remove-Mailbox -Database "Mailbox Database" -StoreMailboxIdentity $_.MailboxGuid -confirm:$false }

Otra de las tareas que no se exponen en la consola gráfica es la actualización de la lista de buzones desconectados (lo que conocíamos como agente de limpieza en Exchange Server 2003). Para ello debemos ejecutar el cmdlet clean-mailboxdatabase <Nombre_de_base_de_Datos>.

Gracias a Anderson Patricio por la información. Saludos y hasta el próximo post.

Recientemente, me preguntaron como podríamos crear nuestros propios scripts de powerShell firmados digitalmente, por ejemplo para uso en organizaciones Exchange Server 2007.

Pues bien, la firma digital se aplica de forma muy sencilla. Lo primero que necesitaremos es un certificado emitido con el propósito de firma de código. El certificado puede ser autofirmado o emitido por una Entidad Certificadora de confianza. (Si es para uso interno de la organización, una Entidad Certificadora de empresa es igualmente válida).

Además debemos instalar el certificado con el que vamos a firmar en el perfil del usuario que realiza la firma. Podemos comprobar los certificados existentes e imnportar nuevos certificados desde la consola MMC de certificados.

Si queremos generar un certificado autofirmado podemos hacerlo con la herramienta makecert, disponible en el SDK de .Net Framework 2.0. Los siguientes ejemplos muestran como se puede crear una entidad certificadora de ámbito local y a continuación un certificado firmado por dicha entidad.

• makecert -n "CN=Entidad Certificadora local para PowerShell" -a sha1 -eku 1.3.6.1.5.5.7.3.3 -r -sv root.pvk root.cer -ss Root -sr localMachine

• makecert -pe -n "CN=Usuario de PowerShell" -ss MY -a sha1 -eku 1.3.6.1.5.5.7.3.3 -iv root.pvk -ic root.cer

Una vez que tenemos el certificado instalado correctamente, ejecutaremos el siguiente cmdlet para firmar los scripts de PowerShell

• $cert = Get-ChildItem -path cert:\CurrentUser\my -CodeSigningCert
• Set-AuthenticodeSignature MiPrimerScript.ps1 -cert $cert

Más información en:

• http://technet.microsoft.com/en-us/library/bb978642(TechNet.10).aspx
• http://msdn.microsoft.com/es-es/library/bfsktky3(VS.80).aspx

Durante los días 11 y 12 de junio de este año 2008 estuvimos apoyando a Microsoft en la feria de seguridad Infosecurity, celebrada en el Palacio de Congresos de Madrid. A mi me tocó perparar algunas charlas y demostraciones de Exchange Server 2007 y Forefront Server Security, siempre desde el enfoque de la seguridad.

También estuvieron por alli mis compañeros Chema Alonso y Pedro Laguna, con una charla desarrollada en el lejano país de Pitufolandia (con disfraz y todo). Yo como no tenía disfraz, me puse la camiseta de Technet y a dar mis charlas. Para aquellos que os interese el tema, aqui os dejo las presentaciones que utilicé durante las dos jornadas y algunas fotos del evento.

• Conferencia Forefront Server Security
• Conferencia Exchange Server 2007 SP1

Hace unos dias se presentaron algunas de las nuevas carcterísticas que incluirá Windows 7, cuyo lanzamiento oficial está previsto para finales de 2009 o principios de 2010. Una de las características más innovadoras es la tecnología Multi Touch, la cual nos permite controlar los objetos de la pantalla con nuestros dedos, ofreciendo así una alternativa al teclado y el raton.

Aunque lo cierto es que no es el primer producto que incluirá Multi Touch. Microsoft ya sacó al mercado la plataforma Surface, eso si, basado en Windows Vista.

Aqui os dejo un video de Multi Touch y Microsoft Surface

El próximo 9 de Junio comenzaremos a impartir en Madrid un nuevo curso de Seguridad y Auditoría Informática con una duración de 150 horas. El curso está diseñado y ofrecido por Informática 64, y colaboran en él nuestros mejores expertos en materia de seguridad informática:

• Jose María Alonso. Consultor de Seguridad. Ingeniero Superior y Máster Postgrado en Sistemas de la Información por la URJC. En la actualidad desarrolla su doctorado “Técnicas de ataques en aplicaciones Web”. Profesional certificado Microsoft, está acreditado desde 2005 como MVP (Most Valuable Professional) Windows Server Security. www.elladodelmal.com
• Pedro Laguna Durán. Consultor de Seguridad de Informática 64. Profesional certificado Microsoft Certified Professional (MCP) y Microsoft Student Partner (MSP). www.equilibrioinestable.com 
• Juan Luis García Rambla. Consultor de Sistemas y Seguridad. Responsable del Area de Seguridad en Informática 64. Profesional certificado Microsoft y MVP (Most Valuable Professional) Windows Server Security desde 2006. www.legalidadinformatica.blogspot.com
• Juan Garrido Caballero. Consultor de Sistemas y Seguridad de Informática 64. Profesional certificado Microsoft, lidera proyectos de implantación de productos y soluciones de seguridad Microsoft. www.windowstips.wordpress.com
• Alejandro Martín Bailón. Responsable del Area de Desarrollo en Informática 64. Ingeniero Superior en Informática por la USAL, Máster en Desarrollo de Sistemas de Comercio Electrónico.

Los contenidos del curso son los siguientes:

• Primera semana: Conceptos de Auditoría de seguridad
  Durante esta semana se verán los conceptos de seguridad, las herramientas de status, la misión del auditor técnico, los tipos de auditoría. Como se afronta una auditoría de caja blanca, de caja negra, que mirar, como hacer un estatus del sistema, como evaluar la situación inicial. Cuáles son las fuentes de información a contar en una auditoría. Cuáles son las fuentes de información y como poder utilizarlas. Es una semana de puesta al día en conceptos de redes, servidores, clientes, tecnologías e internet.
• Segunda semana: Auditoría de seguridad de servidores y clientes
  La segunda semana estará centrada en el análisis de seguridad de servidores y clientes. Como entender la información que utilizan. Las arquitecturas de seguridad de Sistemas Microsoft y Sistemas Linux. Cuáles son los almacenes de información importante en el sistema. Vulnerabilidades. Scanners de información. Exploits. Scanners de caja blanca y scanners de caja negra. Parches. Rootkits. Troyanos. Detección. Fortificación de servidores. Herramientas de fortificación de servidores.
• Tercera semana: Auditoría de Aplicaciones Web
  Arquitectura de aplicaciones Web. Arquitecturas Apache/IIS. Análisis de servidores web. Scanners de vulnerabilidades web. Ataques a aplicaciones web. Inyecciones de Código. Ataques RFI y LFI. Ataques XSS y CSRF. Herramientas de análisis de código estático. Web Application Firewalls. Mod_security. Request Filtering.
• Cuarta Semana: Auditoría de Seguridad de Red
  Arquitectura de conexiones de red. Protocolos de envío L2. Sniffers. Reconstrucción de protocolos. Análisis de red. Inyección de tráfico. Spoofing de comunicaciones. Ataques MITM. Cifrado y autenticación de paquetes. Sistemas de cifrado SSL. IPSec.
• Quinta semana: Auditoría Wireless, IM, VoIP y VPNs
  Tecnologías Wireless: WEP, WEP2, WPA, WPA2. Inyección de paquetes. Ataques a routers Wireless. Inyección de tráfico. AP spoofing. Tecnologías VoIP. Arquitectura SIP. Intercepción de comunicaciones. Reconstrucción de conversaciones. Comunicaciones en Sistemas de Mensajería instantánea. Sistemas de voz, video y conversaciones instantáneas. VPNs.
• Sexta semana: Análisis Forense
  Definiciones. Aplicaciones prácticas. Recogida de datos. Recogida offline y Online. Cadena de custodia. Logs. Análisis de logs del sistema operativo. Análisis de logs de aplicativos. Análisis forense de Malware. Seguimiento del malware para poder denunciar. Sistema de recogida y firmado de logs. Análisis de memoria RAM. Volcado y búsqueda de estructuras. Documentos. Informes de análisis.

Más información en:

• Documento de información del curso (.pdf)
• Formulario de inscripción (.xls)
• http://www.informatica64.com/cursoseguridad.html
• LLamada telefónica 91 665 99 98
• Correo electrónico i64@informatica64.com

Este cmdlet exporta la infromación de lo que ha sucedido en un periodo de tiempo determinado con los mensajes entrantes. En la lista se incluye información de la acción realizada y el nivel SCL que el agente a impuesto.

• Get-AgentLog -StartDate "01/04/2008 00:01:00" -EndDate "30/04/2008 23:59:00" | ft timestamp,IPaddress,P1FromAddress,recipients,action,reason,reasondata | out-String -Width 180 > C:\MensajesFiltrados_SCL.txt

Como podéis observar, los parámetros StartDate y EndDate determinan el intervalo de datos, mientras que ft (format-table) formatea la salida para sólo mostrar los campos que queremos, que en este caso son la Fecha, Dirección IP del remitente, Dirección SMTP del remitente, Destinatarios, Acción realizada por el agente, Motivo, Valor SCL. Por último establecemos el tamaño de las columnas para evitar que se corten datos y lo enviamos a un fichero de texto.

 Un abrazo.

El pasado 1 de abril se anunció oficialmente el lanzamiento de Windows Mobile 6.1 en Las Vegas.

Windows Mobile 6.1 es la nueva versión de sistema operativo de Microsoft para dispositivos móviles como PDAs y Smatphones, e incorpora importantes novedades, sobre todo de cara a la integración con Exchange Server 2007 SP1, System Center Mobile Device Manager 2008 y Windows Live.

Aquellos que ya hayan actualizado sus servidores Exchange Server 2007 a Service Pack 1, podrán gestionar la seguridad de los dispositivos móviles desde las nuevas directivas de ActiveSync, ta y como comenté hace unos días. Para ello se requiere ActiveSync 12.1, que ya viene incuido en esta nueva versión de sistema operativo.

Además, el nuevo producto de Microsoft orientado a la gestión basada en GPOs de dispositivos móviles llamado System Center Mobile Device Manager 2008, se puede ya configurar los dispositivos móviles basados en Windows Mobile 6.1 como si de equipos de escritorio se trataran, ya que tienen su representación en el Directorio Activo y se les aplican directivas de grupo tal y como hemos venido haciendo desde Windows 2000 Server con los equipos unidos al dominio.

Es interesante saber que finalmente las organizaciones disponen de un sistema de control de seguridad y gestión centralizada de PDAs y SmartPhones, ya que hasta ahora, con la llegada de la movilidad a las empresas, este asunto ha traido de cabeza a más de un administrador. Sobre todo desde el punto de vista de la seguridad y la restricción de acceso a los datos del dispositivo o incluso el borrado remoto de la memoria.

Tanto SMS 2003 como Exchange 2003 se acercaron un poco a la resolución del problema de la gestión, pero sin duda las herramientas proporcionadas se quedaban cortas para las necesidades de las empresas. Windows Mobile 2002, 2003 y 5.0 tampoco hacian mucho a su favor, ya que no contaban con clientes de gestión remota de la configuración, como si lo hizo por primera vez Windows Mobile 5.0 MSFP, 6.0 y finalmente esta nueva versión 6.1

Mas información en:

• Microsoft Windows Mobile
• Blog del equipo de desarrollo de Windows Mobile
• System Center Device Mobile Manager 2008
• Windows Mobile 6.1 Standalone Emulator

Los Seminarios o Hands On Lab (HOL) son acciones de carácter puramente técnico y dirigidas a profesionales de éste perfil. El contenido de los mismos es eminentemente práctico. Los asistentes recibirán las explicaciones teóricas de forma ágil para pasar posteriormente a desarrollar prácticas individuales, en entornos virtuales previamente generados a tal efecto. Para el desarrollo de las mismas contarán en todo momento con el apoyo directo de los consultores especialistas responsables de la impartición. Estos escenarios recrean situaciones habituales con las que el profesional podrá encontrarse en su operativa diaria.

El valor diferencial de estos seminarios es:

• Aforo muy limitado
• Prácticas individualizadas (un ordenador por alumno)
• Técnico que resolverá cualquier duda que se plantee en el curso

Aqui os dejo la agenda de los próximos Hands On Lab de Exchange Server 2007 en Madrid.

Más información acerca de otros Hands On Lab en Microsoft TechNet

Antes de comenzar el proceso de instalación debemos asegurarnos que cumplimos con todos los requisitos previos, ya que si no es así, el asistente no permitirá que continuemos con la actualización.

Requisitos de instalación:

• .Net framework 2.0 SP1
  • X86 - http://www.microsoft.com/downloads/details.aspx?familyid=79BC3B77-E02C-4AD3-AACF-A7633F706BA5&displaylang=en
  • X64 - http://www.microsoft.com/downloads/details.aspx?FamilyId=029196ED-04EB-471E-8A99-3C61D19A4C5A&displaylang=en
• KB 931836 - http://support.microsoft.com/kb/931836
• Windows Server 2003 SP2
  • X86 - http://www.microsoft.com/downloads/details.aspx?FamilyID=95ac1610-c232-4644-b828-c55eec605d55&DisplayLang=en
  • X64 - http://www.microsoft.com/downloads/details.aspx?FamilyId=08FEC2F5-6E3B-4E0D-9314-646414D0A421&displaylang=en
    
• El servicio coordinador de transacciones distribuidas debe estar iniciado cuando actualicemos los roles de Acceso de Cliente y Mensajería Unificada, ya que ambos roles dependen de este servicio para poderse actualizar a Service Pack 1

Además, el proceso de actualización a Service Pack 1 se debe realizar siguiendo un orden específico. En primer lugar debemos actualizar todos los servidores Edge Transport (transporte perimetral) de la organización y a continuación todos los servidores Hub transport (transporte interno) y CAS (acceso de cliente). Es necesario actualizar todos los servidores ya que no están soportados los escenarios en donde unos servidores ejecuten una versión y otros ejecuten otra versión de Exchange Server 2007. Por último ejecutaremos la actualización en los servidores Mailbox (buzones) y en los clúster de buzones CCR.

El proceso de actualización en los roles de transporte, CAS y UM se realiza desde el asistente gráfico de instalación, ejecutando setup.exe situado en la carpeta donde hemos extraído el Service Pack 1 y siguiendo los pasos del asistente de una forma muy cómoda y sencilla.

Sin embargo, otra historia es la actualización de un clúster CCR. Lo primero que debemos saber es que no se realiza mediante la interfaz gráfica y debemos de seguir el procedimiento de forma escrupulosa, ya que si no podríamos tener problemas durante la actualización.

El procedimiento ocasiona un breve período de inactividad durante el proceso de actualización. Utilizaremos básicamente la línea de comandos con setup.com aunque sólo se debe ejecutar Setup /m:upgrade en el nodo pasivo del clúster y Setup /UpgradeCms en el nodo activo. Ambos nodos deben actualizarse a Exchange 2007 SP1 para ser compatibles, pero se deben actualizar de uno en uno. Después de actualizar los nodos, se actualiza el servidor de buzones de correo en clúster y después se pone en conexión.

En el siguiente procedimiento, las designaciones del nodo activo y pasivo cambian. Por lo tanto, para facilitar la consulta, el nodo activo original es NodoA y el nodo pasivo original es NodoB.

Operaciones en el NodoB:

1. Para preparar NodoB para la actualización, movemos todos los grupos de recursos del clúster a NodoA.
2. Iniciamos el servicio Conexión compartida a Internet (ICS)/Firewall de Windows. Es necesario iniciar este servicio para permitir que el programa de instalación agregue excepciones del Firewall de Windows para los servicios de Exchange.
3. Detenemos los servicios con identificadores abiertos para los contadores de rendimiento. Algunos de los servicios conocidos que se deben detener son registros y alertas de rendimiento y cualquier agente Microsoft Operations Manager.
4. Detenemos y después reiniciamos el servicio Registro remoto.
5. En una consola de línea de comandos ejecutamos setup /m:upgrade
6. Reiniciamos el NodoB una vez completada la actualización.
7. Ahora debemos parar el servicio de clúster y mover los recursos de Exchange al NodoB, por lo tanto volemos a iniciar sesión en NodoB y ejecutamos:
   a. Stop-ClusteredMailboxServer <NOMBRE_CLUSTER> -StopReason "Actualización a  SP1"
   b. Move-ClusteredMailboxServer <NOMBRE_CLUSTER> -TargetMachine NodoB -MoveComment "Actualización a SP1"
8. Una vez actualizado el NodoB, ahora debemos actualizar el servidor virtual en clúster, que después del movimiento de recursos, el propietario es el NodoB (Nodo activo). Para ello ejecutamos en una línea de comandos:
   a. Setup /upgradeCMS
   

Operaciones en el NodoA:

1. Iniciamos el servicio Conexión compartida a Internet (ICS)/Firewall de Windows.
2. Detenemos los servicios con identificadores abiertos para los contadores de rendimiento.
3. Detenemos y después reiniciamos el servicio Registro remoto.
4. En una consola de línea de comandos ejecutamos setup /m:upgrade
5. Reiniciamos el NodoA una vez completada la actualización.

Ahora están ambos nodos actualizados, así como el servidor de buzones virtual en clúster CCR. Por último, opcionalmente podemos detener y deshabilitar el servicio Conexión compartida a Internet (ICS)/Firewall de Windows en ambos nodos, si es que originalmente lo teníamos deshabilitado.

Además, como el propietario de los recursos cambia durante la actualización, podemos mover los recursos al NodoA con el cmdlet Move-ClusteredMailboxServer <NOMBRE_CLUSTER> -TargetMachine NodoA -MoveComment "Actualización a SP1"

La primera y segunda parte de este artículo se puede encontrar en:

• http://www.saenzguijarro.com/post/2008/02/Windows-Vista-SP1-(I-de-III).aspx
• http://www.saenzguijarro.com/post/2008/03/Windows-Vista-SP1-(II-de-III).aspx

Mejoras de seguridad

Sin duda este es una de las áreas de mejora más destacable que incluye Windows Vista Service Pack 1. Aunque se incluyen todos los boletines de seguridad publicados previamente al lanzamiento del Service Pack 1, además, con la actualización del sistema obtendremos los siguientes beneficios.

• Los desarrolladores de aplicaciones tienen a su disposición un nuevo conjunto de APIs, totalmente soportadas, que permiten que las aplicaciones de seguridad y detección  de código maligno puedan trabajar junto con la protección del Kernel incluida en las versiones de 64 bits de Windows Vista. De esta forma, no es necesario desproteger el sistema o deshabilitar la protección ofrecida por Kernel Patch Protection.
• Se mejora la seguridad de ejecución de aplicaciones remotas (RemoteApp) publicadas en servidores de terminal (Terminal Server) basados en Windows Server 2008. Windows Vista SP1 diferencia las aplicaciones firmadas digitalmente y advierte al usuario en caso de no poder comprobar la identidad de la aplicación publicada o el servidor remoto.
• Ahora un nuevo conjunto nuevo de APIs permiten controlar el comportamiento de DEP (Data Execution Protection) mediante programación, lo cual mejora la capacidad de los desarrolladores para realizar pruebas de compatibilidad y garantizar el óptimo funcionamiento de sus aplicaciones en entornos con DEP habilitado.
• Se mejora la confianza en la información presentada por el Centro de Seguridad de Windows (Windows Security Center), garantizando que solo las aplicaciones autenticadas se pueden comunicar con WSC.
• Se mejora la seguridad de las redes cableadas, habilitando los procesos de inicio de sesión únicos en redes autenticadas.
• La generación de números criptográficos aleatorios se mejora, al poder utilizar más fuentes de semillas (seed), incluyendo plataformas TPM (Trusted Platform Module). Además se reemplaza el uso general que tenía PRNG (Pseudo-Random Number Generator ) con un nuevo modo específico AES-256 PRNG para las capas de usuario y kernel.
• Se incluye un nuevo soporte para tarjetas inteligentes (Smart Cards) que utilizan autenticación biométrica en vez de PIN.
• Se agrega un nuevo canal seguro de comunicación para leer el PIN de las tarjetas inteligentes.
• BitLocker Drive Encription permite ahora el cifrado de otros volúmenes que no sean el del sistema.
• Además Bitlocker Drive Encription ofrece un método de autenticación multi factor, que combina una clave protegida por TPM (Trusted Platform Module) con una clave de inicio almacenada en una llave USB y un número PIN generado por el usuario.
• Los usuarios no administradores ahora pueden invocar la aplicación de copia de seguridad completa del PC (CompletePC Backup).
• Se actualiza RDC (Remote Desktop Client) a la versión 6.1 para soportar las nuevas características de terminal Server de Windows Server 2008, incluyendo el control ActiveX para el acceso Web (TS Web Access).
• Todos los boletines de seguridad que han sido publicados antes del lanzamiento del Service Pack 1, también están incluidos en éste. Para mayor información, la lista completa de boletines de seguridad está disponible en:  http://technet2.microsoft.com/WindowsVista/en/library/20184cb6-7038-4e82-a32c-4bc10ffe56ab1033.mspx?mfr=true
  

Soporte de nuevas tecnologías

• Service Pack 1 añade soporte de nuevos algoritmos de cifrado para IPSec:o   SHA-256, AES-GCM y AES-GMAC para ESP y AHo   ECDSA, SHA-256 y SHA-384 para IKE y AuthIP
  Se agrega Criptografía de Curva Elíptica (ECC) NIST SP 800-90 a la lista de Generadores de Números Pseudo Aleatorios (PRNG).
• Se agrega soporte para SSTP (Secure Sockets Tunnel Protocol), lo cual reduce los problemas de establecimiento de túneles  VPN en escenarios con NAT transversal, Proxy Web y Firewalls. SSTP forma parte de las novedades de la plataforma RRAS (Routing and Remote Access Service) de Windows Server 2008.
• Se soporta completamente el estándar IEEE 802.11n de redes inalámbricas.
• Windows Smartcard Framework cumple con las Directivas de la Unión Europea relativas a las firmas digitales (EU Digital Signature Directive) y los sistemas de identificación digital (National ID / eID)
• Se Mejora el Firewall de Windows para que cumpla con todos los requisitos y algoritmos de cifrado que forman parte de la iniciativa Suite B de la NSA (National Security Agency) de Estados Unidos. Más información en: http://www.nsa.gov/ia/industry/crypto_suite_b.cfm
  

Administración y otras mejoras generales

• Ahora los usuarios pueden seleccionar los volúmenes lógicos que se quieren defragmentar.
• Los administradores pueden configurar los clientes NAP para que se reciban las actualizaciones desde Windows Update o Microsoft Update. Anteriormente sólo se permitía el uso de WSUS para este propósito.
• Se puede configurar el tiempo que un cliente NAP debe recibir y enviar un estado de salud (SoH), lo que permite que el cliente NAP responda a tiempo cuando una conexión tiene un requisito de tiempo máximo de conexión (timeout).
• Se pueden utilizar registros de DNS para localizar servidores con Autoridades de Registro (HRA), en el caso que no existan HRA configuradas mediante GPO.
• Se permite que equipos clientes con un estado de salud correcto, por ejemplo personal de soporte técnico, se conecten mediante IPSec a clientes con un estado de salud no válido. Esto mejora el soporte de NAP en escenarios en donde se necesitan  resolver problemas e incidencias de clientes con estados de salud no válidos.
• Los administradores pueden desplegar dispositivos de impresión a través de la web (Web Services for Devices) a equipos remotos basados en Windows Vista o Windows Server 2008 a través de la consola de administración de impresión.
• Se mejora la impresión en impresoras instaladas localmente desde una sesión de terminal.
• Se permite que los usuarios eliminen o renombren carpetas redirigidas mientras están trabajando en modo desconectado (offline). Aunque esta funcionalidad está deshabilitada por defecto, puede ser habilitada mediante la modificación de una entrada de registro. Es importante para aquellos usuarios que trabajan durante largos periodos en modo desconectado.
• Ahora un administrador puede configurar las propiedades de una red como el nombre y desplegarla mediante GPO.
• Se permite que el servicio KMS (Key Management Service) se ejecute en un equipo virtual.
• Se agrega soporte para hotpatching, lo cual reduce significativamente la necesidad de reiniciar el equipo después de aplicar una actualización. Permite que los componentes sigan en uso mientras se están actualizando. Para ello se requieren paquetes de actualización habilitados con tecnología Hotpatched y el proceso de instalación es el mismo que otros paquetes.
• Se permite la instalación y despliege de versiones de 64 bits de Windows Vista desde sistemas de 32 Bits, lo cual significa que los administradores pueden mantener una única imagen de WinPE (Windows Preinstallation Environment).
• Se mejora el proceso de despliegue de actualizaciones cuando falla la instalación. Hay situaciones en las que se requiere una actualización antes de instalar otra. En estos casos, el proceso fallido se reintenta una vez completados todos los requisitos previos.
• Se mejora la estabilidad durante los procesos de instalación de actualizaciones, haciendo el proceso más resistente a errores temporales como violaciones de acceso, interrupción de flujo eléctrico, etc.
• La instrumentación del sistema se ha actualizado para permitir el envío de datos adicionales a Microsoft mediante CEIP. Con estos datos se han podido identificar numerosas incidencias que ahora se han resuelto en el Service Pack 1.
• Se mejora el informe de memoria instalada, indicando la memoria física real y no la memoria disponible por el sistema, como ocurría anteriormente. Por lo tanto, aquellos equipos de 32 Bits con 4 GB de memoria RAM instalados, reflejarán los  4 GB físicos en las propiedades del sistema. En cualquier caso, este comportamiento depende de que el BIOS sea compatible, por lo tanto no todos los usuarios observarán este cambio.
• Se reduce el número de consultas de UAC (User Account Control) desde 4 a 1 cuando se crean o renombran carpetas en una ubicación protegida.
• Se eliminan dos exploits que afectan a la estabilidad y seguridad del sistema:
  • Exploit de BIOS OEM que modifica el sistema de archivos y el BIOS para simular la activación de producto realizado en copias de Windows preinstalados de fábrica.
  • Exploit que resetea el periodo de gracia que se otorga después finalizar la instalación, hasta que se solicita la activación del producto.

Artículo publicado originalmente en Blog Vista Técnica por Joshua Sáenz G.