790 likes | 1.25k Views
Características de Seguridad en entornos servidor Microsoft Windows Server 2003 y Windows 2000. ¿Qué es TechNet?. El recurso que ofrece la información técnica más completa para ayudar a los profesionales IT a evaluar, implantar, optimizar y dar soporte fácilmente a los productos Microsoft.
E N D
Características de Seguridad en entornos servidor Microsoft Windows Server 2003 y Windows 2000
¿Qué es TechNet? El recurso que ofrece la información técnica más completa para ayudar a los profesionales IT a evaluar, implantar, optimizar y dar soporte fácilmente a los productos Microsoft http://www.microsoft.com/spain/technet
¿Qué ofrece TechNet? • Suscripción CD o DVD • Nuevos Servicios para suscriptores (Chat support & Managed newsgroups support) • Recursos online • Información y documentación técnica sobre los productos de Microsoft • Descargas de software • Area de seguridad • Participación en foros técnicos • Videos Técnicos Online • Chats y Webcast técnicos • Newsgroups con técnicos de Microsoft • Cases Studies: ejemplos empresariales reales • Boletín informativo TechNet Flash • Seminarios y jornadas técnicas Microsoft TechNet
Agenda • Importancia de la Seguridad • Mejoras de Seguridad en Windows Server 2003. • Implementación de seguridad en Windows Server 2003 y Windows 2000
Los Ataques son cada vez más Sofisticados y Destructivos Es difícil mantenerse al día con las Actualizaciones de Seguridad La Seguridad es una Preocupación de Todos. Los Sistemas de las Empresas están Globalmente Conectados y son cada vez más Complejos. Proteger las estaciones de trabajo ha sido cada vez más difícil debido a gran número de razones y dificultades.
Los Fallos de Seguridad Tienen Costes Reales Impacto en la Empresa. • De acuerdo con el informe denominado “Computer Crime and Security Survey” de 2001, realizado por el CSI (Computer Crime Institute) y el FBI: • Pérdidas financieras Cuantificadas de al menos $377M, ó $2M por cada uno de los encuestados. • El 40% detectó penetración en los sistemas desde el exterior; siendo un 25% en 2000 • El 94% detectó virus informáticos; siendo un 85% in 2000 Fuente: Computer Security Institute (CSI) Computer Crime and Security Survey 2001 Fuente: InformationWeek.com, 10/15/01
Érase Una Vez…(No Hace Tanto Tiempo) Mainframes conectados a “terminales tontos” . Era relativamente fácil establecer Seguridad. Mainframe
Se Introdujeron Nuevas Tecnologías… Arquitectura Cliente/Servidor. Se aumenta la Productividad y se está expuesto a nuevos niveles de riesgo. Mainframe Servers
Internet y la movilidad aumentan los riesgos de Seguridad… Clientes Mainframe Servidores
Evolución de la Tecnología Windows XP y Windows 2003 Evolución de las Amenazas Herramientas y Características existentes, MÁS: • Seguridad en Outlook Multi-Nivel. • Encriptación Advanzada. • Herramientas de Gestión de la Seguridad Centralizadas. • AutoRecovery • Conectividad Wireless Integrada. • Internet Connection Firewall integrado. Amenazas anteriores, MÁS: • Caídas y Bloqueos de Sistemas. • Manipulación y Robo de los Datos. 2002 Herramientas y Características existentes, MÁS: • Seguridad de Macros Multi-Nivel y firma de código. • Seguridad de Adjuntos Multi-Nivel en Outlook. • Encriptación de Documentos; Claves en los Documentos. • Internet Connection Firewall con ISA Server • Sistema de Ficheros Encriptados, PKI • Seguridad a Nivel de Usuario, Group Policy Objects, Auditorías. • Soporte para Smart Cards, Soporte Multi-usuario completo. Amenazas anteriores, MÁS: • Penetraciones maliciosas destructivas. • Ataques de virus destructivos. 2000 • Ataques desde dentro por usuarios “autorizados”. • Corrupción de datos, pérdida de datos. • Penetración de Hackers (generalmente inocuo) • Herramientas de Seguridad en el Kit de Recursos • AutoSave • Macro Security – preguntar antes de abrir • Protección de clave en el SalvaPantallas. • Soporte multi-usuario Limitado 1997
La Seguridad es tan Fuerte como el Eslabón más Débil. • La Tecnología no es ni el problema completo, ni la solución completa. • Los Sistemas de Seguridad dependen de: Tecnología, Procesos y Personas.
Tecnología, Procesos, Personas Estándares, Encriptación, Protección Características de Seguridad en los Productos Herramientas y Productos de Seguridad Planificación de la Seguridad Prevención Detección Reacción Personal dedicado Formación Seguridad – mentalización y prioridad
Secure by Default • 60% menos en la superficie de ataque por defecto respecto a Windows NT 4.0 SP3 • 20+ servicios que no están por defecto. • Instalación de Servicios en modo seguro (IIS 6.0 Lockdown) Secure by Design • Construir una arquitectura Segura • Añadir características de Seguriad • Revisión de código y tests de penetración. Secure by Deployment • Nuevas herramientas de gestión de parches. • 7 Cursos disponibles en Microsoft Official Curriculum • Guías de Configuración de Seguridad Oficiales. • Herramientas de Seguridad integradas. Communications • Writing Secure Code 2.0 • Webcasts de Architectura • Conferencias como el IT Fourm Marco de la Seguridad: SD3+C
Agenda • La importancia de la Seguridad • Mejoras de Seguridad en Windows Server 2003.
Seguridad en Directorio Activo • Relaciones de Confianza entre Bosques • Permite a los Administradores crear relaciones de confianza externas “forest-to-forest” • Autenticación entre Bosques • Permite acceso seguro a los recursos cuando la cuenta del usuario está en un Bosque y la cuenta de máquina pertenece a otro Bosque. • Autorización entre Bosques • Permite a los Administradores seleccionar usuarios y grupos de Bosques de confianza para incluirlos en grupos locales o ACLs. • IAS y Autenticación entre Bosques • Si los Bosques del Dir. Activo están em modo “cross-forest” con relaciones de confianza bidireccionales, entonces IAS/RADIUS pueden autenticar la cuenta de usuario del otro Bosque.
Demo Relaciones de Confianza entre Bosques
Mejoras en PKI • Soporte de Certificaciones Cruzadas. • Plantillas de Certificados Personalizables (Versión 2) • Delta CRLs • Key Archival/Recovery • Auto-enrollment • Auditoría de las acciones del Administrador. Ref.: Windows Server 2003 PKI Operations Guide http://www.microsoft.com/technet/prodtechnol/windowsserver2003/maintain/operate/ws03pkog.asp
Mejoras en IIS • Revisiones de código por parte de expertos en seguridad independientes • No se instala por defecto • Servidor en estado “bloqueado por defecto” • Extensiones del servidor Web bloqueadas por defecto. • Identidad de procesos de usuario configurables. • Cuenta de servicios con pocos priviliegios
Permisos • Permisos NFTS por defecto bloqueados: • Antes: EveryoneFull Control • Ahora: • Everyone, Read y Execute (Sólo en Root) • Usuarios, Read and Execute, Create Folder, Create File • SYSTEM, Creator, AdministratorsFull Control • Permisos por defecto en Shares: • Antes: EveryoneFull Control • Ahora: EveryoneRead • Nuevas Características: • Herramienta de Permisos Efectivos • Cambiar el Owner mediante GUI
Demo Interfaz de Usuario para los Permisos
Qué tiene en común todos estos Servicios? • Alerter • Clipbook • Distributed Link Tracking (Server) • Imapi CDROM Burning Service • Human Interface Devices • ICS/ICF • Intersite Messaging • KDC • License Logging Manager • Terminal Server Discovery Service • Windows Image Acquisition • Messenger • NetMeeting • NetDDE • NetDDE DSDM • RRAS • Telnet • Themes • WebClient • Windows Audio Inicio = Deshabilitado
Cuentas de Servicio del Sistema Local System • No hay que gestionar passwords • Se salta los chequeos de seguridad Cuentas de Usuario • Se ejecuta con menos privilegios que Local System • Almacena el password como un LSA secret • Pueden ser complejas en la configuración Local Service y Network Service • No hay que gestionar passwords • Se ejecuta con ligeramente más permisos que Authenticated User • Local Service no se puede autenticar a través de la red, Network Service se autentica como la cuenta de máquina.
Internet Connection Firewall • Apareció incialmente en Windows XP • Se habilita en cada interfaz • Soporta LAN, Wireless, RAS • Elimina por defecto todo el tráfico IP de entrada • Bloquea por defecto el tráfico ICMP • Se pueden crear reglas para permitir el acceso a servicios • Puede registrar peticiones aceptadas y rechazadas.
Nuevas Caracterísitcas de IPSec Gestión • IP Security Monitor • Gestión en línea de comando con Netsh • Direcciones lógicas para configuración IP local Seguridad • Criptografía más Robusta (Diffie-Hellman) • Seguridad en el Inicio del Sistema • Política persistente. Interoperabilidad • Funcionalidad de IPSec con (NAT) • Integración mejorada de IPSec con NLB
Reglas de Excepción por defecto en IPSec Se almacenan en el Registro: HKLM\SYSTEM\CurrentControlSet\Services\IPSEC\NoDefaultExempt
Demo Seguridad de Inicio de IPSec
Cliente RAS puesto en Cuarentena El Cliente RAS cumple la política de Cuarentena • El cliente RAS no cumple la política de Cuarentena • Se alcanza el timeout de Cuarentena Cliente RAS desconectado El cliente RAS consigue acceso total a la red Qué es Network Access Quarantine? El cliente Remoto se Autentica
Qué son las reglas de política? Las reglas de política de Cuarentenason configurables, las reglas comunes pueden incluir: • Service packs ó los últimos hotfixes instalados • Software Antivirus instalado • Ficheros de firmas de detección de Virus actualizados. • Routing deshabilitado en el cliente RAS • Internet Connection Firewall habilitado • Salvapantallas con protección de password habilitado.
Cuarentena Perfil CM • Ejecuta script personalizable post-conexión • El Script ejecuta notificador RQC con “cadena de resultados” Listener • RQS recibe del notificador“cadena de resultados” • Compara cadena con posibles resultados • Elimina time-out si se recibe respuesta peroel cliente no está actualizado • Quita la cuarentena si el cliente está actualizado. VSAs de Cuarentena • MS-Quarantine-Session-Timeout • MS-Quarantine-IPFilter Arquitectura de Cuarentena Internet ServidorIAS Servidor RRAS Cliente RAS RQC.exe y RQS.exe están en el Kit de Recursos de Windows Server 2003
Quarantine Connect Authenticate Authorize Quarantine VSA + Normal Filters Quarantine Access Policy Check Result Remove Quarantine Full Access Proceso Detallado Internet Cliente RAS Servidor RRAS Servidor IAS
Qué hace SRP • SRP puede: • Controlar qué programas se pueden ejecutar en una máquina • Permitir a los usuarios ejecutar exclusivamente ficheros específicos en máquinas con múltiples usuarios. • Controlar si las políticas de restricción de software afectan a todos ó a usuarios específicos. • Evitar que programas específicos se ejecuten en: • Máquina Local • Cualquier máquina en una OU, Site, ó Dominio
Políticas de Restricción de Software • Dos modos: Disallowed, Unrestricted • Control de código ejecutable: • .ADE • .ADP • .BAS • .BAT • .CHM • .CMD • .CPL • .CRT • .EXE • .HLP • .HTA • .INF • .INS • .ISP • .JS • .JSE • .LNK • .MDB • .MDE • .MSC • .MSI • .MSP • .MST • .PCD • .PIF • .REG • .SCR • .SCT • .SHS • .URL • .VB • .VBE • .VBS • .WSC • .WSF • .WSH
Contra qué no nos protege SRP • Drivers u otro software en modo kernel • No puede protegernos de SYSTEM • Cualquier programa con cuenta SYSTEM. • No puede protegernos de SYSTEM • Macros dentro de documentos Microsoft Office 2000 ó Office XP. • Utilizar opciones de seguridad de Macros • Programas escritos para “common language runtime”. • Estos programas utilizan “Code Access Security”
Regla de Certificado • Chequea la firma digital de las aplicaciones (i.e.Authenticode) • Utilizar cuando se quiera restringir tanto aplicaciones win32 como contenido ActiveX Regla Hash • Compara el hash MD5 ó SHA1 de un fichero respecto del que se intenta ejecutar • Utilizarlo cuando se quiere permitir/prohibir la ejecución de cierta versión de un fichero. Regla de Path • Compara el path de un fichero contra una lista de paths permitidos • Utilizar cuando se tiene una carpeta con múltiples ficheros de una aplicación. Regla de Zona Internet • Controla cómo se puede acceder a Zonas de Internet • Utilizar en entornos de alta seguridad para controlar el acceso a aplicaciones web Tipos de reglas SRP
Precedencia de las Reglas • Qué ocurre cuando un programa cumple varias reglas? • Intentando ejecutar la calculadora • Tiene precedencia la regla más específica: • Hash rule • Certificate rule • Path rule • Zone rule
Mejoras Generales • Cambio en la prioridad de búsqueda de DLL desde el directorio de trabajo a \windows\system32 • Encriptación por defecto AES-256-bit en EFS • El grupo Everyone ya no incluye usuarios anónimos (Users y Guests) • Encriptación WebDAV • Carpetas offline encriptadas
Mejoras Generales • Soporte PEAP • Delegación restringida • Auditoría de seguridad detallada. • Auditoría de inicio de sesión de cuentas habilitado por defecto. • Integración DPAPI • Fichero de Ayuda ampliado en temas de Seguridad
Las Personas son los Activos de más valor. • Plantilla de Seguridad dedicada • Grupo de Seguridad especializado • Experiencia específica en seguridad • Formación • Formación en estándares, tecnologías, y procesos • Contribución de todas las partes de la Organización. • Conocimiento y cumplimiento de las directrices de la empresa para la seguridad física, políticas de passwords, procedimientos de acceso a datos.
Apéndice Quarantine Whitepaper: Network Access Quarantine Whitepaper: http://www.microsoft.com/windowsserver2003/techinfo/overview/quarantine.mspx Software Restriction Policy http://www.microsoft.com/windows2000/technologies/security/redir-wnetsafer.asp Windows Server 2003 Resource Kit Tools Download: http://go.microsoft.com/fwlink/?LinkId=4544
Windows Server 2003 Security Configuration Guide • Windows Server 2003 Security Guide http://go.microsoft.com/fwlink/?LinkId=14846 • Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP http://go.microsoft.com/fwlink/?LinkId=15160
Implementación de Seguridad en el Servidor Windows 2000 y Windows Server 2003
Agenda • Necesidad de Seguridad. • Definición del Problema. • Seguridad de Servidores. • Seguridad del Dominio. • Fortificación de Servidores • Política para Servidores Independientes. • Fortificación de Controladores de Dominio. • Fortificación de Servidores según su Rol
Conocimientos Necesarios • Experiencia en conocimiento relacionado con Seguridad de Windows 2000 ó 2003. • Familiaridad con herramientas de Gestión de Windows. • Familiaridad con Políticas de Grupo. Level 200
Agenda • Necesidad de Seguridad. • Definición del Problema. • Seguridad de Servidores. • Seguridad del Dominio. • Fortificación de Servidores • Política para Servidores Independientes. • Fortificación de Controladores de Dominio. • Fortificación de Servidores según su Rol
Necesidad de Seguridad • Proteger Información • Proteger los canales de información • Minimizar paradas del servicio • Proteger los beneficios. • Evitar daño a la imagen • Proteger los procesos de los trabajadores
Definición del ProblemaPequeña y Mediana Empresa • Los Servidores cumplen multitud de Roles. • Servidores Limitados • Recursos Disponibles Limitados • Características de Disponibilidad de Servicio Limitada. Domain Controller SQL Server IIS Server Print Server File Server
Definición del ProblemaPequeña y Mediana Empresa • Amenaza Accidental • Amenaza Interna • Servidor Comprometido ó Fallido • Afecta a múltiples Servicios Request Discover Acknowledge Offer