1 / 78

Características de Seguridad en entornos servidor Microsoft Windows Server 2003 y Windows 2000

Características de Seguridad en entornos servidor Microsoft Windows Server 2003 y Windows 2000. ¿Qué es TechNet?. El recurso que ofrece la información técnica más completa para ayudar a los profesionales IT a evaluar, implantar, optimizar y dar soporte fácilmente a los productos Microsoft.

lyn
Download Presentation

Características de Seguridad en entornos servidor Microsoft Windows Server 2003 y Windows 2000

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Características de Seguridad en entornos servidor Microsoft Windows Server 2003 y Windows 2000

  2. ¿Qué es TechNet? El recurso que ofrece la información técnica más completa para ayudar a los profesionales IT a evaluar, implantar, optimizar y dar soporte fácilmente a los productos Microsoft http://www.microsoft.com/spain/technet

  3. ¿Qué ofrece TechNet? • Suscripción CD o DVD • Nuevos Servicios para suscriptores (Chat support & Managed newsgroups support) • Recursos online • Información y documentación técnica sobre los productos de Microsoft • Descargas de software • Area de seguridad • Participación en foros técnicos • Videos Técnicos Online • Chats y Webcast técnicos • Newsgroups con técnicos de Microsoft • Cases Studies: ejemplos empresariales reales • Boletín informativo TechNet Flash • Seminarios y jornadas técnicas Microsoft TechNet

  4. Agenda • Importancia de la Seguridad • Mejoras de Seguridad en Windows Server 2003. • Implementación de seguridad en Windows Server 2003 y Windows 2000

  5. Los Ataques son cada vez más Sofisticados y Destructivos Es difícil mantenerse al día con las Actualizaciones de Seguridad La Seguridad es una Preocupación de Todos. Los Sistemas de las Empresas están Globalmente Conectados y son cada vez más Complejos. Proteger las estaciones de trabajo ha sido cada vez más difícil debido a gran número de razones y dificultades.

  6. Los Fallos de Seguridad Tienen Costes Reales Impacto en la Empresa. • De acuerdo con el informe denominado “Computer Crime and Security Survey” de 2001, realizado por el CSI (Computer Crime Institute) y el FBI: • Pérdidas financieras Cuantificadas de al menos $377M, ó $2M por cada uno de los encuestados. • El 40% detectó penetración en los sistemas desde el exterior; siendo un 25% en 2000 • El 94% detectó virus informáticos; siendo un 85% in 2000 Fuente: Computer Security Institute (CSI) Computer Crime and Security Survey 2001 Fuente: InformationWeek.com, 10/15/01

  7. Érase Una Vez…(No Hace Tanto Tiempo) Mainframes conectados a “terminales tontos” . Era relativamente fácil establecer Seguridad. Mainframe

  8. Se Introdujeron Nuevas Tecnologías… Arquitectura Cliente/Servidor. Se aumenta la Productividad y se está expuesto a nuevos niveles de riesgo. Mainframe Servers

  9. Internet y la movilidad aumentan los riesgos de Seguridad… Clientes Mainframe Servidores

  10. Evolución de la Tecnología Windows XP y Windows 2003 Evolución de las Amenazas Herramientas y Características existentes, MÁS: • Seguridad en Outlook Multi-Nivel. • Encriptación Advanzada. • Herramientas de Gestión de la Seguridad Centralizadas. • AutoRecovery • Conectividad Wireless Integrada. • Internet Connection Firewall integrado. Amenazas anteriores, MÁS: • Caídas y Bloqueos de Sistemas. • Manipulación y Robo de los Datos. 2002 Herramientas y Características existentes, MÁS: • Seguridad de Macros Multi-Nivel y firma de código. • Seguridad de Adjuntos Multi-Nivel en Outlook. • Encriptación de Documentos; Claves en los Documentos. • Internet Connection Firewall con ISA Server • Sistema de Ficheros Encriptados, PKI • Seguridad a Nivel de Usuario, Group Policy Objects, Auditorías. • Soporte para Smart Cards, Soporte Multi-usuario completo. Amenazas anteriores, MÁS: • Penetraciones maliciosas destructivas. • Ataques de virus destructivos. 2000 • Ataques desde dentro por usuarios “autorizados”. • Corrupción de datos, pérdida de datos. • Penetración de Hackers (generalmente inocuo) • Herramientas de Seguridad en el Kit de Recursos • AutoSave • Macro Security – preguntar antes de abrir • Protección de clave en el SalvaPantallas. • Soporte multi-usuario Limitado 1997

  11. La Seguridad es tan Fuerte como el Eslabón más Débil. • La Tecnología no es ni el problema completo, ni la solución completa. • Los Sistemas de Seguridad dependen de: Tecnología, Procesos y Personas.

  12. Tecnología, Procesos, Personas Estándares, Encriptación, Protección Características de Seguridad en los Productos Herramientas y Productos de Seguridad Planificación de la Seguridad Prevención Detección Reacción Personal dedicado Formación Seguridad – mentalización y prioridad

  13. Secure by Default • 60% menos en la superficie de ataque por defecto respecto a Windows NT 4.0 SP3 • 20+ servicios que no están por defecto. • Instalación de Servicios en modo seguro (IIS 6.0 Lockdown) Secure by Design • Construir una arquitectura Segura • Añadir características de Seguriad • Revisión de código y tests de penetración. Secure by Deployment • Nuevas herramientas de gestión de parches. • 7 Cursos disponibles en Microsoft Official Curriculum • Guías de Configuración de Seguridad Oficiales. • Herramientas de Seguridad integradas. Communications • Writing Secure Code 2.0 • Webcasts de Architectura • Conferencias como el IT Fourm Marco de la Seguridad: SD3+C

  14. Agenda • La importancia de la Seguridad • Mejoras de Seguridad en Windows Server 2003.

  15. Seguridad en Directorio Activo • Relaciones de Confianza entre Bosques • Permite a los Administradores crear relaciones de confianza externas “forest-to-forest” • Autenticación entre Bosques • Permite acceso seguro a los recursos cuando la cuenta del usuario está en un Bosque y la cuenta de máquina pertenece a otro Bosque. • Autorización entre Bosques • Permite a los Administradores seleccionar usuarios y grupos de Bosques de confianza para incluirlos en grupos locales o ACLs. • IAS y Autenticación entre Bosques • Si los Bosques del Dir. Activo están em modo “cross-forest” con relaciones de confianza bidireccionales, entonces IAS/RADIUS pueden autenticar la cuenta de usuario del otro Bosque.

  16. Demo Relaciones de Confianza entre Bosques

  17. Mejoras en PKI • Soporte de Certificaciones Cruzadas. • Plantillas de Certificados Personalizables (Versión 2) • Delta CRLs • Key Archival/Recovery • Auto-enrollment • Auditoría de las acciones del Administrador. Ref.: Windows Server 2003 PKI Operations Guide http://www.microsoft.com/technet/prodtechnol/windowsserver2003/maintain/operate/ws03pkog.asp

  18. Mejoras en IIS • Revisiones de código por parte de expertos en seguridad independientes • No se instala por defecto • Servidor en estado “bloqueado por defecto” • Extensiones del servidor Web bloqueadas por defecto. • Identidad de procesos de usuario configurables. • Cuenta de servicios con pocos priviliegios

  19. Permisos • Permisos NFTS por defecto bloqueados: • Antes: EveryoneFull Control • Ahora: • Everyone, Read y Execute (Sólo en Root) • Usuarios, Read and Execute, Create Folder, Create File • SYSTEM, Creator, AdministratorsFull Control • Permisos por defecto en Shares: • Antes: EveryoneFull Control • Ahora: EveryoneRead • Nuevas Características: • Herramienta de Permisos Efectivos • Cambiar el Owner mediante GUI

  20. Demo Interfaz de Usuario para los Permisos

  21. Qué tiene en común todos estos Servicios? • Alerter • Clipbook • Distributed Link Tracking (Server) • Imapi CDROM Burning Service • Human Interface Devices • ICS/ICF • Intersite Messaging • KDC • License Logging Manager • Terminal Server Discovery Service • Windows Image Acquisition • Messenger • NetMeeting • NetDDE • NetDDE DSDM • RRAS • Telnet • Themes • WebClient • Windows Audio Inicio = Deshabilitado

  22. Cuentas de Servicio del Sistema Local System • No hay que gestionar passwords • Se salta los chequeos de seguridad Cuentas de Usuario • Se ejecuta con menos privilegios que Local System • Almacena el password como un LSA secret • Pueden ser complejas en la configuración Local Service y Network Service • No hay que gestionar passwords • Se ejecuta con ligeramente más permisos que Authenticated User • Local Service no se puede autenticar a través de la red, Network Service se autentica como la cuenta de máquina.

  23. Internet Connection Firewall • Apareció incialmente en Windows XP • Se habilita en cada interfaz • Soporta LAN, Wireless, RAS • Elimina por defecto todo el tráfico IP de entrada • Bloquea por defecto el tráfico ICMP • Se pueden crear reglas para permitir el acceso a servicios • Puede registrar peticiones aceptadas y rechazadas.

  24. Nuevas Caracterísitcas de IPSec Gestión • IP Security Monitor • Gestión en línea de comando con Netsh • Direcciones lógicas para configuración IP local Seguridad • Criptografía más Robusta (Diffie-Hellman) • Seguridad en el Inicio del Sistema • Política persistente. Interoperabilidad • Funcionalidad de IPSec con (NAT) • Integración mejorada de IPSec con NLB

  25. Reglas de Excepción por defecto en IPSec Se almacenan en el Registro: HKLM\SYSTEM\CurrentControlSet\Services\IPSEC\NoDefaultExempt

  26. Demo Seguridad de Inicio de IPSec

  27. Network Access Quarantine para RRAS

  28. Cliente RAS puesto en Cuarentena El Cliente RAS cumple la política de Cuarentena • El cliente RAS no cumple la política de Cuarentena • Se alcanza el timeout de Cuarentena Cliente RAS desconectado El cliente RAS consigue acceso total a la red Qué es Network Access Quarantine? El cliente Remoto se Autentica

  29. Qué son las reglas de política? Las reglas de política de Cuarentenason configurables, las reglas comunes pueden incluir: • Service packs ó los últimos hotfixes instalados • Software Antivirus instalado • Ficheros de firmas de detección de Virus actualizados. • Routing deshabilitado en el cliente RAS • Internet Connection Firewall habilitado • Salvapantallas con protección de password habilitado.

  30. Cuarentena Perfil CM • Ejecuta script personalizable post-conexión • El Script ejecuta notificador RQC con “cadena de resultados” Listener • RQS recibe del notificador“cadena de resultados” • Compara cadena con posibles resultados • Elimina time-out si se recibe respuesta peroel cliente no está actualizado • Quita la cuarentena si el cliente está actualizado. VSAs de Cuarentena • MS-Quarantine-Session-Timeout • MS-Quarantine-IPFilter Arquitectura de Cuarentena Internet ServidorIAS Servidor RRAS Cliente RAS RQC.exe y RQS.exe están en el Kit de Recursos de Windows Server 2003

  31. Quarantine Connect Authenticate Authorize Quarantine VSA + Normal Filters Quarantine Access Policy Check Result Remove Quarantine Full Access Proceso Detallado Internet Cliente RAS Servidor RRAS Servidor IAS

  32. Políticas de Restricción deSoftware.

  33. Qué hace SRP • SRP puede: • Controlar qué programas se pueden ejecutar en una máquina • Permitir a los usuarios ejecutar exclusivamente ficheros específicos en máquinas con múltiples usuarios. • Controlar si las políticas de restricción de software afectan a todos ó a usuarios específicos. • Evitar que programas específicos se ejecuten en: • Máquina Local • Cualquier máquina en una OU, Site, ó Dominio

  34. Políticas de Restricción de Software • Dos modos: Disallowed, Unrestricted • Control de código ejecutable: • .ADE • .ADP • .BAS • .BAT • .CHM • .CMD • .CPL • .CRT • .EXE • .HLP • .HTA • .INF • .INS • .ISP • .JS • .JSE • .LNK • .MDB • .MDE • .MSC • .MSI • .MSP • .MST • .PCD • .PIF • .REG • .SCR • .SCT • .SHS • .URL • .VB • .VBE • .VBS • .WSC • .WSF • .WSH

  35. Contra qué no nos protege SRP • Drivers u otro software en modo kernel • No puede protegernos de SYSTEM • Cualquier programa con cuenta SYSTEM. • No puede protegernos de SYSTEM • Macros dentro de documentos Microsoft Office 2000 ó Office XP. • Utilizar opciones de seguridad de Macros • Programas escritos para “common language runtime”. • Estos programas utilizan “Code Access Security”

  36. Regla de Certificado • Chequea la firma digital de las aplicaciones (i.e.Authenticode) • Utilizar cuando se quiera restringir tanto aplicaciones win32 como contenido ActiveX Regla Hash • Compara el hash MD5 ó SHA1 de un fichero respecto del que se intenta ejecutar • Utilizarlo cuando se quiere permitir/prohibir la ejecución de cierta versión de un fichero. Regla de Path • Compara el path de un fichero contra una lista de paths permitidos • Utilizar cuando se tiene una carpeta con múltiples ficheros de una aplicación. Regla de Zona Internet • Controla cómo se puede acceder a Zonas de Internet • Utilizar en entornos de alta seguridad para controlar el acceso a aplicaciones web Tipos de reglas SRP

  37. Precedencia de las Reglas • Qué ocurre cuando un programa cumple varias reglas? • Intentando ejecutar la calculadora • Tiene precedencia la regla más específica: • Hash rule • Certificate rule • Path rule • Zone rule

  38. Mejoras Generales

  39. Mejoras Generales • Cambio en la prioridad de búsqueda de DLL desde el directorio de trabajo a \windows\system32 • Encriptación por defecto AES-256-bit en EFS • El grupo Everyone ya no incluye usuarios anónimos (Users y Guests) • Encriptación WebDAV • Carpetas offline encriptadas

  40. Mejoras Generales • Soporte PEAP • Delegación restringida • Auditoría de seguridad detallada. • Auditoría de inicio de sesión de cuentas habilitado por defecto. • Integración DPAPI • Fichero de Ayuda ampliado en temas de Seguridad

  41. Las Personas son los Activos de más valor. • Plantilla de Seguridad dedicada • Grupo de Seguridad especializado • Experiencia específica en seguridad • Formación • Formación en estándares, tecnologías, y procesos • Contribución de todas las partes de la Organización. • Conocimiento y cumplimiento de las directrices de la empresa para la seguridad física, políticas de passwords, procedimientos de acceso a datos.

  42. Apéndice Quarantine Whitepaper: Network Access Quarantine Whitepaper: http://www.microsoft.com/windowsserver2003/techinfo/overview/quarantine.mspx Software Restriction Policy http://www.microsoft.com/windows2000/technologies/security/redir-wnetsafer.asp Windows Server 2003 Resource Kit Tools Download: http://go.microsoft.com/fwlink/?LinkId=4544

  43. Windows Server 2003 Security Configuration Guide • Windows Server 2003 Security Guide http://go.microsoft.com/fwlink/?LinkId=14846 • Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP http://go.microsoft.com/fwlink/?LinkId=15160

  44. Implementación de Seguridad en el Servidor Windows 2000 y Windows Server 2003

  45. Agenda • Necesidad de Seguridad. • Definición del Problema. • Seguridad de Servidores. • Seguridad del Dominio. • Fortificación de Servidores • Política para Servidores Independientes. • Fortificación de Controladores de Dominio. • Fortificación de Servidores según su Rol

  46. Conocimientos Necesarios • Experiencia en conocimiento relacionado con Seguridad de Windows 2000 ó 2003. • Familiaridad con herramientas de Gestión de Windows. • Familiaridad con Políticas de Grupo. Level 200

  47. Agenda • Necesidad de Seguridad. • Definición del Problema. • Seguridad de Servidores. • Seguridad del Dominio. • Fortificación de Servidores • Política para Servidores Independientes. • Fortificación de Controladores de Dominio. • Fortificación de Servidores según su Rol

  48. Necesidad de Seguridad • Proteger Información • Proteger los canales de información • Minimizar paradas del servicio • Proteger los beneficios. • Evitar daño a la imagen • Proteger los procesos de los trabajadores

  49. Definición del ProblemaPequeña y Mediana Empresa • Los Servidores cumplen multitud de Roles. • Servidores Limitados • Recursos Disponibles Limitados • Características de Disponibilidad de Servicio Limitada. Domain Controller SQL Server IIS Server Print Server File Server

  50. Definición del ProblemaPequeña y Mediana Empresa • Amenaza Accidental • Amenaza Interna • Servidor Comprometido ó Fallido • Afecta a múltiples Servicios Request Discover Acknowledge Offer

More Related