Post on 03-Feb-2016
Características de Seguridad en Características de Seguridad en entornos servidor entornos servidor
Microsoft Windows Server 2003 y Microsoft Windows Server 2003 y Windows 2000Windows 2000
¿Qué es TechNet?¿Qué es TechNet?
El recurso que ofrece la información El recurso que ofrece la información técnica más completa para ayudar a los técnica más completa para ayudar a los profesionales IT a evaluar, implantar, profesionales IT a evaluar, implantar, optimizar y dar soporte fácilmente a los optimizar y dar soporte fácilmente a los productos Microsoftproductos Microsoft
http://www.microsoft.com/spain/technethttp://www.microsoft.com/spain/technet
¿Qué ofrece TechNet?¿Qué ofrece TechNet?
Suscripción CD o DVDSuscripción CD o DVD Nuevos Servicios para suscriptores (Chat support & Managed newsgroups Nuevos Servicios para suscriptores (Chat support & Managed newsgroups
support)support) Recursos onlineRecursos online
Información y documentación técnica sobre los productos de Información y documentación técnica sobre los productos de MicrosoftMicrosoft
Descargas de softwareDescargas de software Area de seguridadArea de seguridad Participación en foros técnicosParticipación en foros técnicos Videos Técnicos OnlineVideos Técnicos Online Chats y Webcast técnicosChats y Webcast técnicos Newsgroups con técnicos de Microsoft Newsgroups con técnicos de Microsoft Cases Studies: ejemplos empresariales realesCases Studies: ejemplos empresariales reales
Boletín informativo TechNet FlashBoletín informativo TechNet Flash Seminarios y jornadas técnicas Microsoft TechNetSeminarios y jornadas técnicas Microsoft TechNet
AgendaAgenda
Importancia de la SeguridadImportancia de la Seguridad Mejoras de Seguridad en Windows Server Mejoras de Seguridad en Windows Server
2003.2003. Implementación de seguridad en Implementación de seguridad en
Windows Server 2003 y Windows 2000Windows Server 2003 y Windows 2000
Proteger las estaciones de trabajoProteger las estaciones de trabajo
ha sido cada vez más difícil debido a ha sido cada vez más difícil debido a gran número de razones y gran número de razones y
dificultades.dificultades.
La Seguridad es una Preocupación de La Seguridad es una Preocupación de Todos.Todos.
Los Sistemas de las Empresas están Los Sistemas de las Empresas están
Globalmente Conectados y son cadaGlobalmente Conectados y son cada
vez más Complejos.vez más Complejos.
Los Ataques son cada vez más Los Ataques son cada vez más
Sofisticados y Destructivos Sofisticados y Destructivos
Es difícil mantenerse al día con las Es difícil mantenerse al día con las
Actualizaciones de SeguridadActualizaciones de Seguridad
Impacto en la Empresa.Impacto en la Empresa.
De acuerdo con el informe denominado “Computer De acuerdo con el informe denominado “Computer Crime and Security Survey” de 2001, realizado por el Crime and Security Survey” de 2001, realizado por el CSI (Computer Crime Institute) y el FBI:CSI (Computer Crime Institute) y el FBI: Pérdidas financieras Cuantificadas de al menos $377M, Pérdidas financieras Cuantificadas de al menos $377M,
ó $2M por cada uno de los encuestados.ó $2M por cada uno de los encuestados. El 40% detectó penetración en los sistemas desde el exterior; El 40% detectó penetración en los sistemas desde el exterior;
siendo un 25% en 2000siendo un 25% en 2000 El 94% detectó virus informáticos; siendo un 85% in 2000El 94% detectó virus informáticos; siendo un 85% in 2000
Los Fallos de Seguridad Tienen Costes RealesLos Fallos de Seguridad Tienen Costes Reales
Fuente: Computer Security Institute (CSI) Computer Crime and Fuente: Computer Security Institute (CSI) Computer Crime and Security Survey 2001 Security Survey 2001Fuente: InformationWeek.com, 10/15/01Fuente: InformationWeek.com, 10/15/01
Érase Una Vez…Érase Una Vez…(No Hace Tanto Tiempo)(No Hace Tanto Tiempo)
Mainframes conectados a Mainframes conectados a “terminales tontos” . “terminales tontos” . Era relativamente fácil Era relativamente fácil establecer Seguridad.establecer Seguridad.
MainframeMainframe
Arquitectura Arquitectura Cliente/Servidor. Se Cliente/Servidor. Se aumenta la Productividad y aumenta la Productividad y se está expuesto a nuevos se está expuesto a nuevos niveles de riesgo.niveles de riesgo.
Se Introdujeron Nuevas Se Introdujeron Nuevas Tecnologías…Tecnologías…
ServersServers
MainframeMainframe
Internet y la movilidad Internet y la movilidad aumentan los riesgos de aumentan los riesgos de Seguridad…Seguridad…
ServidoresServidores
ClientesClientes
MainframeMainframe
Evolución de las Evolución de las AmenazasAmenazas
Ataques desde dentro por usuarios Ataques desde dentro por usuarios “autorizados”.“autorizados”.
Corrupción de datos, pérdida de Corrupción de datos, pérdida de datos.datos.
Penetración de Hackers Penetración de Hackers (generalmente inocuo)(generalmente inocuo)
Amenazas anteriores, Amenazas anteriores, MÁSMÁS:: Penetraciones maliciosas Penetraciones maliciosas
destructivas.destructivas. Ataques de virus destructivos.Ataques de virus destructivos.
Amenazas anteriores, Amenazas anteriores, MÁSMÁS:: Caídas y Bloqueos de Sistemas.Caídas y Bloqueos de Sistemas. Manipulación y Robo de los Manipulación y Robo de los
Datos.Datos.
Herramientas de Seguridad en el Kit de Herramientas de Seguridad en el Kit de RecursosRecursos
AutoSaveAutoSave Macro Security – preguntar antes de abrirMacro Security – preguntar antes de abrir Protección de clave en el SalvaPantallas.Protección de clave en el SalvaPantallas. Soporte multi-usuario LimitadoSoporte multi-usuario Limitado
Herramientas y Características existentes, Herramientas y Características existentes, MÁSMÁS :: Seguridad de Macros Multi-Nivel y firma de Seguridad de Macros Multi-Nivel y firma de
código.código. Seguridad de Adjuntos Multi-Nivel en Outlook.Seguridad de Adjuntos Multi-Nivel en Outlook. Encriptación de Documentos; Claves en los Encriptación de Documentos; Claves en los
Documentos.Documentos. Internet Connection Firewall con ISA ServerInternet Connection Firewall con ISA Server Sistema de Ficheros Encriptados, PKISistema de Ficheros Encriptados, PKI Seguridad a Nivel de Usuario, Group Policy Seguridad a Nivel de Usuario, Group Policy
Objects, Auditorías.Objects, Auditorías. Soporte para Smart Cards, Soporte Multi-usuario Soporte para Smart Cards, Soporte Multi-usuario
completo.completo.
200
02
002
199
7
Herramientas y Características existentes, Herramientas y Características existentes, MÁSMÁS :: Seguridad en Outlook Multi-Nivel.Seguridad en Outlook Multi-Nivel. Encriptación Advanzada.Encriptación Advanzada. Herramientas de Gestión de la Seguridad Herramientas de Gestión de la Seguridad
Centralizadas.Centralizadas. AutoRecovery AutoRecovery Conectividad Wireless Integrada.Conectividad Wireless Integrada. Internet Connection Firewall integrado.Internet Connection Firewall integrado.
Evolución de la Tecnología Evolución de la Tecnología
Windows XP y Windows 2003Windows XP y Windows 2003
La Seguridad es tan Fuerte La Seguridad es tan Fuerte como el Eslabón más Débil.como el Eslabón más Débil.
La Tecnología no es ni el problema La Tecnología no es ni el problema completo, ni la solución completa.completo, ni la solución completa.
Los Sistemas de Seguridad dependen Los Sistemas de Seguridad dependen de: Tecnología, Procesos y Personas.de: Tecnología, Procesos y Personas.
Estándares, Encriptación, ProtecciónEstándares, Encriptación, ProtecciónCaracterísticas de Seguridad en los ProductosCaracterísticas de Seguridad en los ProductosHerramientas y Productos de SeguridadHerramientas y Productos de Seguridad
Planificación de la SeguridadPlanificación de la SeguridadPrevenciónPrevenciónDetecciónDetecciónReacciónReacción
Tecnología, Procesos, PersonasTecnología, Procesos, Personas
Personal dedicadoPersonal dedicadoFormaciónFormaciónSeguridad – mentalización y prioridadSeguridad – mentalización y prioridad
Secure by DeploymentSecure by Deployment Nuevas herramientas de Nuevas herramientas de
gestión de parches. gestión de parches. 7 Cursos disponibles en 7 Cursos disponibles en
Microsoft Official CurriculumMicrosoft Official Curriculum Guías de Configuración de Guías de Configuración de
Seguridad Oficiales.Seguridad Oficiales. Herramientas de Seguridad Herramientas de Seguridad
integradas.integradas.
Secure by DeploymentSecure by Deployment Nuevas herramientas de Nuevas herramientas de
gestión de parches. gestión de parches. 7 Cursos disponibles en 7 Cursos disponibles en
Microsoft Official CurriculumMicrosoft Official Curriculum Guías de Configuración de Guías de Configuración de
Seguridad Oficiales.Seguridad Oficiales. Herramientas de Seguridad Herramientas de Seguridad
integradas.integradas.
Secure by DesignSecure by Design Construir una arquitectura Construir una arquitectura
Segura Segura Añadir características de Añadir características de
SeguriadSeguriad Revisión de código y tests de Revisión de código y tests de
penetración.penetración.
Secure by DesignSecure by Design Construir una arquitectura Construir una arquitectura
Segura Segura Añadir características de Añadir características de
SeguriadSeguriad Revisión de código y tests de Revisión de código y tests de
penetración.penetración.
Secure by DefaultSecure by Default 60% menos en la superficie de 60% menos en la superficie de
ataque por defecto respecto a ataque por defecto respecto a Windows NT 4.0 SP3Windows NT 4.0 SP3
20+ servicios que no están por 20+ servicios que no están por defecto.defecto.
Instalación de Servicios en Instalación de Servicios en modo seguro (IIS 6.0 modo seguro (IIS 6.0 Lockdown)Lockdown)
Secure by DefaultSecure by Default 60% menos en la superficie de 60% menos en la superficie de
ataque por defecto respecto a ataque por defecto respecto a Windows NT 4.0 SP3Windows NT 4.0 SP3
20+ servicios que no están por 20+ servicios que no están por defecto.defecto.
Instalación de Servicios en Instalación de Servicios en modo seguro (IIS 6.0 modo seguro (IIS 6.0 Lockdown)Lockdown)
Marco de la Seguridad: SDMarco de la Seguridad: SD33+C +C
CommunicationsCommunications Writing Secure Code 2.0Writing Secure Code 2.0 Webcasts de ArchitecturaWebcasts de Architectura Conferencias como el IT FourmConferencias como el IT Fourm
CommunicationsCommunications Writing Secure Code 2.0Writing Secure Code 2.0 Webcasts de ArchitecturaWebcasts de Architectura Conferencias como el IT FourmConferencias como el IT Fourm
AgendaAgenda
La importancia de la SeguridadLa importancia de la Seguridad Mejoras de Seguridad en Windows Server Mejoras de Seguridad en Windows Server
2003.2003.
Seguridad en Directorio Activo Seguridad en Directorio Activo
Relaciones de Confianza entre BosquesRelaciones de Confianza entre Bosques Permite a los Administradores crear relaciones de Permite a los Administradores crear relaciones de
confianza externas “forest-to-forest”confianza externas “forest-to-forest”
Autenticación entre BosquesAutenticación entre Bosques Permite acceso seguro a los recursos cuando la cuenta Permite acceso seguro a los recursos cuando la cuenta
del usuario está en un Bosque y la cuenta de máquina del usuario está en un Bosque y la cuenta de máquina pertenece a otro Bosque. pertenece a otro Bosque.
Autorización entre BosquesAutorización entre Bosques Permite a los Administradores seleccionar usuarios y Permite a los Administradores seleccionar usuarios y
grupos de Bosques de confianza para incluirlos en grupos grupos de Bosques de confianza para incluirlos en grupos locales o ACLs. locales o ACLs.
IAS y Autenticación entre BosquesIAS y Autenticación entre Bosques Si los Bosques del Dir. Activo están em modo “cross-Si los Bosques del Dir. Activo están em modo “cross-
forest” con relaciones de confianza bidireccionales, forest” con relaciones de confianza bidireccionales, entonces IAS/RADIUS pueden autenticar la cuenta de entonces IAS/RADIUS pueden autenticar la cuenta de usuario del otro Bosque.usuario del otro Bosque.
DemoDemo
Relaciones de Relaciones de Confianza Confianza entre Bosquesentre Bosques
Mejoras en PKIMejoras en PKI
Soporte de Certificaciones Cruzadas. Soporte de Certificaciones Cruzadas. Plantillas de Certificados Personalizables Plantillas de Certificados Personalizables
(Versión 2)(Versión 2) Delta CRLsDelta CRLs Key Archival/RecoveryKey Archival/Recovery Auto-enrollmentAuto-enrollment Auditoría de las acciones del Administrador.Auditoría de las acciones del Administrador.
Ref.: Windows Server 2003 PKI Operations GuideRef.: Windows Server 2003 PKI Operations Guide
http://www.microsoft.com/technet/prodtechnol/windowshttp://www.microsoft.com/technet/prodtechnol/windowsserver2003/maintain/operate/ws03pkog.aspserver2003/maintain/operate/ws03pkog.asp
Mejoras en IISMejoras en IIS
Revisiones de código por parte de expertos Revisiones de código por parte de expertos en seguridad independientesen seguridad independientes
No se instala por defecto No se instala por defecto Servidor en estado “bloqueado por defecto”Servidor en estado “bloqueado por defecto” Extensiones del servidor Web bloqueadas Extensiones del servidor Web bloqueadas
por defecto.por defecto. Identidad de procesos de usuario Identidad de procesos de usuario
configurables.configurables. Cuenta de servicios con pocos priviliegiosCuenta de servicios con pocos priviliegios
PermisosPermisos Permisos NFTS por defecto bloqueados:Permisos NFTS por defecto bloqueados:
Antes: Antes: EveryoneEveryone Full ControlFull Control Ahora: Ahora:
EveryoneEveryone, , ReadRead y y ExecuteExecute (Sólo en Root) (Sólo en Root) UsuariosUsuarios, , ReadRead and and ExecuteExecute, , Create FolderCreate Folder, , Create FileCreate File SYSTEMSYSTEM, , CreatorCreator, , AdministratorsAdministrators Full ControlFull Control
Permisos por defecto en Shares:Permisos por defecto en Shares: Antes: Antes: EveryoneEveryone Full ControlFull Control Ahora: Ahora: EveryoneEveryone ReadRead
Nuevas Características:Nuevas Características: Herramienta de Permisos EfectivosHerramienta de Permisos Efectivos Cambiar el Owner mediante GUICambiar el Owner mediante GUI
DemoDemo
Interfaz de Usuario Interfaz de Usuario para los Permisospara los Permisos
Qué tiene en común todos Qué tiene en común todos estos Servicios?estos Servicios?
AlerterAlerter ClipbookClipbook Distributed Link Tracking (Server)Distributed Link Tracking (Server) Imapi CDROM Burning ServiceImapi CDROM Burning Service Human Interface DevicesHuman Interface Devices ICS/ICFICS/ICF Intersite MessagingIntersite Messaging KDCKDC License Logging ManagerLicense Logging Manager Terminal Server Discovery Service Terminal Server Discovery Service Windows Image AcquisitionWindows Image Acquisition
MessengerMessenger NetMeetingNetMeeting NetDDENetDDE NetDDE DSDMNetDDE DSDM RRASRRAS TelnetTelnet ThemesThemes WebClientWebClient Windows AudioWindows Audio
Inicio = DeshabilitadoInicio = Deshabilitado
Cuentas de Servicio del SistemaCuentas de Servicio del Sistema
Local Service y Network ServiceLocal Service y Network ServiceNo hay que gestionar passwordsNo hay que gestionar passwordsSe ejecuta con ligeramente más permisos que Authenticated Se ejecuta con ligeramente más permisos que Authenticated
UserUser Local Service no se puede autenticar a través de la red, Local Service no se puede autenticar a través de la red,
Network Service se autentica como la cuenta de máquina.Network Service se autentica como la cuenta de máquina.
Local Service y Network ServiceLocal Service y Network ServiceNo hay que gestionar passwordsNo hay que gestionar passwordsSe ejecuta con ligeramente más permisos que Authenticated Se ejecuta con ligeramente más permisos que Authenticated
UserUser Local Service no se puede autenticar a través de la red, Local Service no se puede autenticar a través de la red,
Network Service se autentica como la cuenta de máquina.Network Service se autentica como la cuenta de máquina.
Local SystemLocal System No hay que gestionar passwordsNo hay que gestionar passwords Se salta los chequeos de seguridadSe salta los chequeos de seguridad
Cuentas de UsuarioCuentas de UsuarioSe ejecuta con menos privilegios que Local System Se ejecuta con menos privilegios que Local System Almacena el password como un LSA secretAlmacena el password como un LSA secretPueden ser complejas en la configuraciónPueden ser complejas en la configuración
Local SystemLocal System No hay que gestionar passwordsNo hay que gestionar passwords Se salta los chequeos de seguridadSe salta los chequeos de seguridad
Cuentas de UsuarioCuentas de UsuarioSe ejecuta con menos privilegios que Local System Se ejecuta con menos privilegios que Local System Almacena el password como un LSA secretAlmacena el password como un LSA secretPueden ser complejas en la configuraciónPueden ser complejas en la configuración
Internet Connection FirewallInternet Connection Firewall Apareció incialmente en Windows XPApareció incialmente en Windows XP Se habilita en cada interfazSe habilita en cada interfaz Soporta LAN, Wireless, RASSoporta LAN, Wireless, RAS Elimina por defecto todo el tráfico IP Elimina por defecto todo el tráfico IP
de entradade entrada Bloquea por defecto el tráfico ICMPBloquea por defecto el tráfico ICMP Se pueden crear reglas para permitir Se pueden crear reglas para permitir
el acceso a serviciosel acceso a servicios Puede registrar peticiones aceptadas Puede registrar peticiones aceptadas
y rechazadas.y rechazadas.
Nuevas Caracterísitcas de IPSecNuevas Caracterísitcas de IPSecGestiónGestión IP Security Monitor IP Security Monitor Gestión en línea de comando con NetshGestión en línea de comando con Netsh Direcciones lógicas para configuración IP localDirecciones lógicas para configuración IP local
GestiónGestión IP Security Monitor IP Security Monitor Gestión en línea de comando con NetshGestión en línea de comando con Netsh Direcciones lógicas para configuración IP localDirecciones lógicas para configuración IP local
SeguridadSeguridad Criptografía más Robusta (Diffie-Hellman) Criptografía más Robusta (Diffie-Hellman) Seguridad en el Inicio del SistemaSeguridad en el Inicio del Sistema Política persistente.Política persistente.
SeguridadSeguridad Criptografía más Robusta (Diffie-Hellman) Criptografía más Robusta (Diffie-Hellman) Seguridad en el Inicio del SistemaSeguridad en el Inicio del Sistema Política persistente.Política persistente.
InteroperabilidadInteroperabilidad Funcionalidad de IPSec con (NAT)Funcionalidad de IPSec con (NAT) Integración mejorada de IPSec con NLBIntegración mejorada de IPSec con NLB
InteroperabilidadInteroperabilidad Funcionalidad de IPSec con (NAT)Funcionalidad de IPSec con (NAT) Integración mejorada de IPSec con NLBIntegración mejorada de IPSec con NLB
Reglas de Excepción por defecto en Reglas de Excepción por defecto en IPSecIPSec
Se almacenan en el Registro:Se almacenan en el Registro:HKLM\SYSTEM\CurrentControlSet\Services\IPSEC\NoDefaultExemptHKLM\SYSTEM\CurrentControlSet\Services\IPSEC\NoDefaultExempt
Valores deValores de
NoDefaultExemptNoDefaultExempt 00 11 22 33 RSVPRSVP IKEIKE KerberosKerberos MulticastMulticast BroadcastBroadcast
IKE IKE MulticastMulticast BroadcastBroadcast
RSVPRSVP IKEIKE KerberosKerberos
IKEIKE
RSVPRSVP IKEIKE KerberosKerberos MulticastMulticast BroadcastBroadcast
IKE IKE MulticastMulticast BroadcastBroadcast
XX XX
Seguridad de Inicio de IPSecSeguridad de Inicio de IPSec
DemoDemo
Network Access Network Access Quarantine para Quarantine para RRASRRAS
Qué es Network Access Quarantine?Qué es Network Access Quarantine?
El Cliente RAS El Cliente RAS cumple la política de cumple la política de
CuarentenaCuarentena
El cliente El cliente RAS RAS
consigue consigue acceso total acceso total
a la reda la red
Cliente RAS Cliente RAS desconectadodesconectado
1.1. El cliente RAS no El cliente RAS no cumple la política de cumple la política de CuarentenaCuarentena
2.2. Se alcanza el timeout Se alcanza el timeout de Cuarentenade Cuarentena
Cliente RAS puesto Cliente RAS puesto en Cuarentenaen Cuarentena
El cliente Remoto se El cliente Remoto se AutenticaAutentica
Qué son las reglas de política?Qué son las reglas de política?
Las reglas de política de CuarentenaLas reglas de política de Cuarentena son son configurables, las reglas comunes configurables, las reglas comunes pueden incluirpueden incluir::
Service packs ó los últimos hotfixes Service packs ó los últimos hotfixes instaladosinstalados
Software Antivirus instaladoSoftware Antivirus instalado Ficheros de firmas de detección de Virus Ficheros de firmas de detección de Virus
actualizados.actualizados. Routing deshabilitado en el cliente RASRouting deshabilitado en el cliente RAS Internet Connection Firewall habilitadoInternet Connection Firewall habilitado Salvapantallas con protección de Salvapantallas con protección de
password habilitado.password habilitado.
Arquitectura de CuarentenaArquitectura de Cuarentena
Perfil CMPerfil CM• Ejecuta script Ejecuta script
personalizable personalizable post-conexiónpost-conexión
• El Script ejecuta El Script ejecuta notificador RQC notificador RQC con “cadena de con “cadena de resultados”resultados”
ListenerListener• RQS recibe del notificadorRQS recibe del notificador
“cadena de resultados”“cadena de resultados”• Compara cadena con Compara cadena con posibles resultadosposibles resultados• Elimina time-out si se Elimina time-out si se recibe respuesta perorecibe respuesta pero
el cliente no está el cliente no está actualizadoactualizado• Quita la cuarentena si elQuita la cuarentena si el cliente está actualizado.cliente está actualizado.
VSAs de CuarentenaVSAs de Cuarentena• MS-Quarantine-
Session-Timeout• MS-Quarantine-
IPFilter
Internet
Cliente RASCliente RAS Servidor RRASServidor RRAS
ServidorServidorIASIAS
CuarentenaCuarentena
RQC.exe y RQS.exe están en el Kit de Recursos de RQC.exe y RQS.exe están en el Kit de Recursos de Windows Server 2003Windows Server 2003
Proceso DetalladoProceso Detallado
ConnectConnect
AuthenticateAuthenticate
AuthorizeAuthorizeQuarantine VSAQuarantine VSA+ Normal Filters+ Normal Filters
Policy CheckPolicy CheckResultResult
Remove QuarantineRemove Quarantine
QuarantineQuarantineAccessAccess
Full AccessFull Access
InternetCliente RASCliente RAS
Servidor RRASServidor RRAS Servidor IASServidor IAS
QuarantineQuarantine
Políticas de Políticas de Restricción deRestricción deSoftware.Software.
Qué hace SRPQué hace SRP SRP puede:SRP puede:
Controlar qué programas se pueden Controlar qué programas se pueden ejecutar en una máquinaejecutar en una máquina
Permitir a los usuarios ejecutar Permitir a los usuarios ejecutar exclusivamente ficheros específicos en exclusivamente ficheros específicos en máquinas con múltiples usuarios. máquinas con múltiples usuarios.
Controlar si las políticas de restricción de Controlar si las políticas de restricción de software afectan a todos ó a usuarios software afectan a todos ó a usuarios específicos. específicos.
Evitar que programas específicos se Evitar que programas específicos se ejecuten en:ejecuten en: Máquina LocalMáquina Local Cualquier máquina en una OU, Site, ó DominioCualquier máquina en una OU, Site, ó Dominio
Políticas de Restricción de SoftwarePolíticas de Restricción de Software
Dos modos: Disallowed, UnrestrictedDos modos: Disallowed, Unrestricted Control de código ejecutable:Control de código ejecutable:
.ADE.ADE .ADP .ADP .BAS.BAS .BAT.BAT .CHM.CHM .CMD.CMD .CPL.CPL .CRT.CRT .EXE .EXE .HLP.HLP .HTA.HTA .INF.INF
.INS.INS .ISP.ISP .JS.JS .JSE.JSE .LNK.LNK .MDB.MDB .MDE.MDE .MSC.MSC .MSI.MSI .MSP.MSP .MST.MST .PCD.PCD
.PIF .REG .SCR .SCT .SHS .URL .VB .VBE .VBS .WSC .WSF .WSH
Contra qué no nos protege SRPContra qué no nos protege SRP
Drivers u otro software en modo kernelDrivers u otro software en modo kernel No puede protegernos de SYSTEMNo puede protegernos de SYSTEM
Cualquier programa con cuenta SYSTEM.Cualquier programa con cuenta SYSTEM. No puede protegernos de SYSTEMNo puede protegernos de SYSTEM
Macros dentro de documentos Microsoft Macros dentro de documentos Microsoft Office 2000 ó Office XP.Office 2000 ó Office XP. Utilizar opciones de seguridad de MacrosUtilizar opciones de seguridad de Macros
Programas escritos para “common language Programas escritos para “common language runtime”. runtime”. Estos programas utilizan “Code Access Security”Estos programas utilizan “Code Access Security”
Tipos de reglas SRPTipos de reglas SRP
Regla de PathRegla de Path Compara el path de un fichero Compara el path de un fichero
contra una lista de paths contra una lista de paths permitidospermitidos
Utilizar cuando se tiene una Utilizar cuando se tiene una carpeta con múltiples ficheros de carpeta con múltiples ficheros de una aplicación.una aplicación.
Regla de PathRegla de Path Compara el path de un fichero Compara el path de un fichero
contra una lista de paths contra una lista de paths permitidospermitidos
Utilizar cuando se tiene una Utilizar cuando se tiene una carpeta con múltiples ficheros de carpeta con múltiples ficheros de una aplicación.una aplicación.
Regla HashRegla Hash Compara el hash MD5 ó SHA1 Compara el hash MD5 ó SHA1
de un fichero respecto del que de un fichero respecto del que se intenta ejecutarse intenta ejecutar
Utilizarlo cuando se quiere Utilizarlo cuando se quiere permitir/prohibir la ejecución permitir/prohibir la ejecución de cierta versión de un fichero.de cierta versión de un fichero.
Regla HashRegla Hash Compara el hash MD5 ó SHA1 Compara el hash MD5 ó SHA1
de un fichero respecto del que de un fichero respecto del que se intenta ejecutarse intenta ejecutar
Utilizarlo cuando se quiere Utilizarlo cuando se quiere permitir/prohibir la ejecución permitir/prohibir la ejecución de cierta versión de un fichero.de cierta versión de un fichero.
Regla de CertificadoRegla de Certificado
Chequea la firma digital de las Chequea la firma digital de las aplicaciones (i.e.Authenticode)aplicaciones (i.e.Authenticode)
Utilizar cuando se quiera Utilizar cuando se quiera restringir tanto aplicaciones restringir tanto aplicaciones win32 como contenido ActiveX win32 como contenido ActiveX
Regla de CertificadoRegla de Certificado
Chequea la firma digital de las Chequea la firma digital de las aplicaciones (i.e.Authenticode)aplicaciones (i.e.Authenticode)
Utilizar cuando se quiera Utilizar cuando se quiera restringir tanto aplicaciones restringir tanto aplicaciones win32 como contenido ActiveX win32 como contenido ActiveX
Regla de Zona InternetRegla de Zona Internet Controla cómo se puede Controla cómo se puede
acceder a Zonas de Internetacceder a Zonas de Internet Utilizar en entornos de alta Utilizar en entornos de alta
seguridad para controlar el seguridad para controlar el acceso a aplicaciones webacceso a aplicaciones web
Regla de Zona InternetRegla de Zona Internet Controla cómo se puede Controla cómo se puede
acceder a Zonas de Internetacceder a Zonas de Internet Utilizar en entornos de alta Utilizar en entornos de alta
seguridad para controlar el seguridad para controlar el acceso a aplicaciones webacceso a aplicaciones web
Precedencia de las ReglasPrecedencia de las Reglas Qué ocurre cuando un programa Qué ocurre cuando un programa
cumple varias reglas? cumple varias reglas? Intentando ejecutar la calculadoraIntentando ejecutar la calculadora
c:\winntc:\winnt UnrestrictedUnrestricted
A6A44A0E8A76C7B2174DE68C5B0F724D:114688:32771A6A44A0E8A76C7B2174DE68C5B0F724D:114688:32771 DisallowedDisallowed
c:\winnt\system32\calc.exec:\winnt\system32\calc.exe DisallowedDisallowed
Tiene precedencia la regla más Tiene precedencia la regla más específica:específica:1.1. Hash ruleHash rule
2.2. Certificate ruleCertificate rule
3.3. Path rulePath rule
4.4. Zone ruleZone rule
Mejoras GeneralesMejoras Generales
Mejoras GeneralesMejoras Generales
Cambio en la prioridad de búsqueda de Cambio en la prioridad de búsqueda de DLL desde el directorio de trabajo a \DLL desde el directorio de trabajo a \windows\system32windows\system32
Encriptación por defecto AES-256-bit Encriptación por defecto AES-256-bit en EFSen EFS
El grupo Everyone ya no incluye El grupo Everyone ya no incluye usuarios anónimos (Users y Guests)usuarios anónimos (Users y Guests)
Encriptación WebDAVEncriptación WebDAV Carpetas offline encriptadasCarpetas offline encriptadas
Mejoras GeneralesMejoras Generales Soporte PEAPSoporte PEAP Delegación restringidaDelegación restringida Auditoría de seguridad detallada.Auditoría de seguridad detallada. Auditoría de inicio de sesión de Auditoría de inicio de sesión de
cuentas habilitado por defecto.cuentas habilitado por defecto. Integración DPAPIIntegración DPAPI Fichero de Ayuda ampliado en temas Fichero de Ayuda ampliado en temas
de Seguridadde Seguridad
Las Personas son los Las Personas son los Activos de más valor.Activos de más valor.
Plantilla de Seguridad dedicadaPlantilla de Seguridad dedicada Grupo de Seguridad especializadoGrupo de Seguridad especializado Experiencia específica en seguridadExperiencia específica en seguridad
FormaciónFormación Formación en estándares, tecnologías, y procesosFormación en estándares, tecnologías, y procesos
Contribución de todas las partes de la Contribución de todas las partes de la Organización.Organización. Conocimiento y cumplimiento de las directrices de Conocimiento y cumplimiento de las directrices de
la empresa para la seguridad física, políticas de la empresa para la seguridad física, políticas de passwords, procedimientos de acceso a datos.passwords, procedimientos de acceso a datos.
Quarantine Whitepaper:Quarantine Whitepaper:
Network Access Quarantine Whitepaper:Network Access Quarantine Whitepaper:http://www.microsoft.com/windowsserver2003/techinfo/overview/quarantine.mspx
Software Restriction PolicySoftware Restriction Policyhttp://www.microsoft.com/windows2000/technologies/security/redir-wnetsafer.asp
Windows Server 2003 Resource Kit Tools Download:Windows Server 2003 Resource Kit Tools Download:http://go.microsoft.com/fwlink/?LinkId=4544
ApéndiceApéndice
Windows Server 2003 Security Windows Server 2003 Security Configuration GuideConfiguration Guide
Windows Server 2003 Security GuideWindows Server 2003 Security Guide
http://go.microsoft.com/fwlink/?LinkId=14846http://go.microsoft.com/fwlink/?LinkId=14846 Threats and Countermeasures: Security Threats and Countermeasures: Security
Settings in Windows Server 2003 and Settings in Windows Server 2003 and Windows XPWindows XP
http://go.microsoft.com/fwlink/?LinkId=15160http://go.microsoft.com/fwlink/?LinkId=15160
Implementación de Implementación de Seguridad en el Seguridad en el Servidor Windows Servidor Windows 2000 y Windows 2000 y Windows Server 2003Server 2003
AgendaAgenda
Necesidad de Seguridad.Necesidad de Seguridad. Definición del Problema.Definición del Problema. Seguridad de Servidores.Seguridad de Servidores. Seguridad del Dominio.Seguridad del Dominio. Fortificación de ServidoresFortificación de Servidores Política para Servidores Independientes.Política para Servidores Independientes. Fortificación de Controladores de Fortificación de Controladores de
Dominio.Dominio. Fortificación de Servidores según su RolFortificación de Servidores según su Rol
Conocimientos NecesariosConocimientos Necesarios
Experiencia en conocimiento relacionado Experiencia en conocimiento relacionado con Seguridad de Windows 2000 ó 2003.con Seguridad de Windows 2000 ó 2003.
Familiaridad con herramientas de Gestión Familiaridad con herramientas de Gestión de Windows.de Windows.
Familiaridad con Políticas de Grupo. Familiaridad con Políticas de Grupo.
Level 200Level 200
AgendaAgenda
Necesidad de Seguridad.Necesidad de Seguridad. Definición del Problema.Definición del Problema. Seguridad de Servidores.Seguridad de Servidores. Seguridad del Dominio.Seguridad del Dominio. Fortificación de ServidoresFortificación de Servidores Política para Servidores Independientes.Política para Servidores Independientes. Fortificación de Controladores de Fortificación de Controladores de
Dominio.Dominio. Fortificación de Servidores según su RolFortificación de Servidores según su Rol
Necesidad de SeguridadNecesidad de Seguridad
Proteger InformaciónProteger Información Proteger los canales de informaciónProteger los canales de información Minimizar paradas del servicioMinimizar paradas del servicio Proteger los beneficios.Proteger los beneficios. Evitar daño a la imagenEvitar daño a la imagen Proteger los procesos de los trabajadoresProteger los procesos de los trabajadores
Definición del ProblemaDefinición del ProblemaPequeña y Mediana Empresa Pequeña y Mediana Empresa
Domain Controller SQL Server
IIS Server
File ServerPrint Server
Los Servidores cumplen multitud de Roles.Los Servidores cumplen multitud de Roles. Servidores LimitadosServidores Limitados Recursos Disponibles LimitadosRecursos Disponibles Limitados Características de Disponibilidad de Servicio Características de Disponibilidad de Servicio
Limitada.Limitada.
Definición del ProblemaDefinición del ProblemaPequeña y Mediana EmpresaPequeña y Mediana Empresa
Amenaza AccidentalAmenaza Accidental Amenaza InternaAmenaza Interna Servidor Comprometido ó FallidoServidor Comprometido ó Fallido
Afecta a múltiples ServiciosAfecta a múltiples Servicios
Discover
Request
Acknowledge Offer
Definición del ProblemaDefinición del ProblemaPequeña y Mediana EmpresaPequeña y Mediana Empresa
Acceso a InternetAcceso a Internet Recursos Limitados para implementar Seguridad Recursos Limitados para implementar Seguridad
completa.completa. Posibilidad de acceso malicioso a la red.Posibilidad de acceso malicioso a la red.
DomainController
File and PrintDHCP
Firew all
Workstation
Mail/IISServ er
ApplicationServ er Workstation
Definición del ProblemaDefinición del ProblemaPequeña y Mediana EmpresaPequeña y Mediana Empresa Departamentos IT pequeños.Departamentos IT pequeños.
No existe experiencia específica en Seguridad.No existe experiencia específica en Seguridad.
Administrador del Dominio con algo de conocimiento en Seguridad.
Soporte a Usuarios
Poco conocimiento en Seguridad
Soporte de Aplicaciones
Algún Conocimiento de Seguridad de Aplicaciones.
Definición del ProblemaDefinición del ProblemaPequeña y Mediana EmpresaPequeña y Mediana Empresa Utilización de Sistemas antiguosUtilización de Sistemas antiguos
NO son posibles algunas configuraciones de NO son posibles algunas configuraciones de SeguridadSeguridad
No se puede establecer comunicación SMB firmada digitalmente
Seguridad de ServidoresSeguridad de ServidoresSeguridad FísicaSeguridad Física
El acceso físico a los Servidores anula algunos El acceso físico a los Servidores anula algunos procedimientos de Seguridadprocedimientos de Seguridad
Seguridad de ServidoresSeguridad de ServidoresAcceso Autorizado SeguroAcceso Autorizado Seguro
Componentes de un Acceso Autorizado Componentes de un Acceso Autorizado SeguroSeguro AutenticaciónAutenticación Listas de Control de AccesoListas de Control de Acceso Cuenta del Administrador por defectoCuenta del Administrador por defecto
Un Acceso Autorizado Seguro Un Acceso Autorizado Seguro proporcionaproporciona ConfidencialidadConfidencialidad IntegridadIntegridad SeguimientoSeguimiento
Seguridad del DominioSeguridad del DominioFronteras del DominioFronteras del Dominio Fronteras de SeguridadFronteras de Seguridad
BosqueBosque Administradores FiablesAdministradores Fiables
Fronteras de GestiónFronteras de Gestión DominioDominio Unidades OrganizativasUnidades Organizativas
Fronteras AdministrativasFronteras Administrativas Administradores del DominioAdministradores del Dominio Administradores de ServiciosAdministradores de Servicios Administradores de DatosAdministradores de Datos
Seguridad del DominioSeguridad del DominioConfiguración de SeguridadConfiguración de Seguridad
Unidades OrganizativasUnidades Organizativas Grupos AdministrativosGrupos Administrativos Plantillas de SeguridadPlantillas de Seguridad Sincronización de TiempoSincronización de Tiempo
KerberosKerberos
Seguridad del DominioSeguridad del DominioPolítica del DominioPolítica del Dominio
Account Policies
User Rights Assignment
Security Options
Políticas de CuentasPolíticas de Cuentas Políticas de ClavesPolíticas de Claves Políticas de BloqueoPolíticas de Bloqueo Políticas KerberosPolíticas Kerberos
Demonstrar Estructuras de OU Demonstrar Estructuras de OU Demostrar Grupos Demostrar Grupos
Administrativos Crear y Mostrar Administrativos Crear y Mostrar los Fiecheros .inf de las Plantillas los Fiecheros .inf de las Plantillas
de Seguridad. de Seguridad. Demostrar Configuraciones de Demostrar Configuraciones de
Políticas de CuentasPolíticas de Cuentas
Demo 1Demo 1 Política del DominioPolítica del Dominio
Securidad vs FunctionalidadSecuridad vs Functionalidad Configuraciones de SeguridadConfiguraciones de Seguridad Limitar la Superficie de AtaqueLimitar la Superficie de Ataque Evitar Acceso InnecesarioEvitar Acceso Innecesario Comunicación SeguraComunicación Segura Actualizaciones de SeguridadActualizaciones de Seguridad
Fortificación de ServidoresFortificación de Servidores
Microsoft Baseline Security AnalyzerMicrosoft Baseline Security Analyzer Análisis y Configuración de SeguridadAnálisis y Configuración de Seguridad Plantillas de SeguridadPlantillas de Seguridad Group PolicyGroup Policy SeceditSecedit GPResultGPResult GPUpdateGPUpdate
Fortificación de ServidoresFortificación de Servidores
Política para Servidores Política para Servidores IndependientesIndependientesParámetros de las PolíticasParámetros de las Políticas Aplicar Políticas a la OU de Servidores Aplicar Políticas a la OU de Servidores
IndependientesIndependientes Configuración Heredada por las OU hijasConfiguración Heredada por las OU hijas
Política de Auditoría
Asignación de Derechos de Usuario
Opciones de Seguridad
Registros de Eventos
Servicios del Sistema
Servidores Independientes
Política para Servidores Política para Servidores IndependientesIndependientesLínea Base de SeguridadLínea Base de Seguridad Configuración ManualConfiguración Manual
Renombrar y cambiar la descripcion de las Renombrar y cambiar la descripcion de las cuentas pre-definidascuentas pre-definidas
Restringir el acceso de las cuentas pre-Restringir el acceso de las cuentas pre-definidas y cuentas de serviciodefinidas y cuentas de servicio
No utilizar cuentas del dominio para los No utilizar cuentas del dominio para los servicios en la medida de lo posibleservicios en la medida de lo posible
Utilizar NTFSUtilizar NTFS Configurar encriptación en Terminal ServicesConfigurar encriptación en Terminal Services No configurar “error reporting” (Sólo en No configurar “error reporting” (Sólo en
Windows Server 2003)Windows Server 2003)
Demo 2Demo 2 Aplicar la Política de Aplicar la Política de
Servidores Servidores IndependientesIndependientes Aplicar PolíticaAplicar Política
GPUpdateGPUpdateGPResultGPResult
Fortificación de Controladores Fortificación de Controladores de Dominio de Dominio Parámetros de las PolíticasParámetros de las Políticas A los Domain Controllers no les afecta la A los Domain Controllers no les afecta la
política de Servidores Independientespolítica de Servidores Independientes Aplicar la Política a la OU de Domain Aplicar la Política a la OU de Domain
Controllers Controllers
Política de Auditoría
Asignación de Derechos de Usuario
Opciones de Seguridad
Registros de Sucesos
Servicios del Sistema
Domain Controllers
Fortificación de Controladores Fortificación de Controladores de Domino de Domino Parámetros AdicionalesParámetros Adicionales
AdicionalmenteAdicionalmente Cuentas específicas del Dominio en la Asignación de Cuentas específicas del Dominio en la Asignación de
Derechos de UsuarioDerechos de Usuario Ubicación del fichero log de Active DirectoryUbicación del fichero log de Active Directory Utilidad System Key(Syskey)Utilidad System Key(Syskey) DNS integrado en Active DirectoryDNS integrado en Active Directory IP Security (IPSec)IP Security (IPSec)
Demo 3Demo 3 Fortificación de Fortificación de
Controladores de DominioControladores de Dominio
Aplicar la Política de Domain Aplicar la Política de Domain Controller Ver SysKeyController Ver SysKey
Fortificación de Servidores Según Fortificación de Servidores Según su Rolsu RolServidores de InfraestructuraServidores de Infraestructura Heredan la configuración de la Política de Heredan la configuración de la Política de
Servidores IndependientesServidores Independientes Configurar parámetros de ServiciosConfigurar parámetros de Servicios
Dynamic Host Configuration Protocol (DHCP)Dynamic Host Configuration Protocol (DHCP) Windows Internet Name Service (WINS)Windows Internet Name Service (WINS)
Registro de Servicios
Características de Disponibilidad
Seguridad en cuentas locales
IPSec
Fortificación de Servidores Según Fortificación de Servidores Según su Rolsu RolServidores de FicherosServidores de Ficheros Hereda la configuración de la política de Servidores Hereda la configuración de la política de Servidores
IndependientesIndependientes Configurar ServiciosConfigurar Servicios
Distributed File System (DFS)Distributed File System (DFS) File Replication Service (FRS)File Replication Service (FRS)
Asegurar cuentas pre-definidas y de serviciosAsegurar cuentas pre-definidas y de servicios Configurar IPSecConfigurar IPSec
Fortificación de Servidores Según Fortificación de Servidores Según su Rolsu RolServidores de ImpresorasServidores de Impresoras Hereda la configuración de la política de Servidores Hereda la configuración de la política de Servidores
IndependientesIndependientes Configurar Opciones de SeguridadConfigurar Opciones de Seguridad Configurar ServiciosConfigurar Servicios Asegurar cuentas pre-definidas y de ServiciosAsegurar cuentas pre-definidas y de Servicios Configurar IPSecConfigurar IPSec
Fortificación de Servidores Según su Fortificación de Servidores Según su RolRolInternet Information Services (IIS)Internet Information Services (IIS) Hereda los valores de la Política de Servidores Hereda los valores de la Política de Servidores
IndependientesIndependientes Configurar asignación de derechos de usuariosConfigurar asignación de derechos de usuarios Configurar ServiciosConfigurar Servicios Habilitar únicamente los componentes esenciales Habilitar únicamente los componentes esenciales
de IISde IIS IIS deshabilitado por defecto en Windows Server IIS deshabilitado por defecto en Windows Server
2003 2003 Instalación nueva únicamente en servidores con Instalación nueva únicamente en servidores con
contenido estáticocontenido estático Asegurar cuentas pre-definidas y de servicioAsegurar cuentas pre-definidas y de servicio Configurar IPSecConfigurar IPSec
Demo 4Demo 4 Fortificación de Servidores Fortificación de Servidores
Según su RolSegún su Rol
Demonstrar Seguridad en IIS Demonstrar Seguridad en IIS Aplicar Política de Seguridad Aplicar Política de Seguridad
de Servidor de Ficherosde Servidor de Ficheros
Ejemplo de Combinación de Ejemplo de Combinación de RolesRolesServidor de Ficheros e ImpresorasServidor de Ficheros e Impresoras Servidor de Ficheros: configurar firma digital de Servidor de Ficheros: configurar firma digital de
comunicaciones SMBcomunicaciones SMB Servidor de Impresoras: La firma digital SMB no Servidor de Impresoras: La firma digital SMB no
evita que se imiprima SINO QUE se vea la cola evita que se imiprima SINO QUE se vea la cola de impresiónde impresión
Ejemplo de Servidor AisladoEjemplo de Servidor Aislado
No es parte de un No es parte de un DominioDominio
No se aplican No se aplican Políticas de GrupoPolíticas de Grupo
Políticas localesPolíticas locales Herramienta de Herramienta de
Configuración y Configuración y Análisis de SeguridadAnálisis de Seguridad
SeceditSecedit
Demo 5Demo 5 Combinación de Roles y Combinación de Roles y
Fortificación de un Servidor Fortificación de un Servidor AisladoAislado
Configuración y Análisis de Configuración y Análisis de SeguridadSeguridad Secedit Secedit
ResumenResumen
Necesidad de Seguridad.Necesidad de Seguridad. Definición del Problema.Definición del Problema. Seguridad de Servidores.Seguridad de Servidores. Seguridad del Dominio.Seguridad del Dominio. Fortificación de ServidoresFortificación de Servidores Política para Servidores Independientes.Política para Servidores Independientes. Fortificación de Controladores de Fortificación de Controladores de
Dominio.Dominio. Fortificación de Servidores según su RolFortificación de Servidores según su Rol
Más InformaciónMás Información Información y recursos sobre seguridad Información y recursos sobre seguridad
de Microsoft de Microsoft www.microsoft.com/spain/seguridadwww.microsoft.com/spain/seguridad www.microsoft.com/spain/technet/seguridadwww.microsoft.com/spain/technet/seguridad
Windows 2000 Server Security GuideWindows 2000 Server Security Guide http://www.microsoft.com/technet/treeview/dehttp://www.microsoft.com/technet/treeview/de
fault.asp?url=/technet/security/chklist/w2ksvrfault.asp?url=/technet/security/chklist/w2ksvrcl.aspcl.asp
Guia de Seguridad de Windows Server Guia de Seguridad de Windows Server 20032003 http://www.microsoft.com/spain/technet/seguhttp://www.microsoft.com/spain/technet/segu
ridad/guias/guia_ws2003.aspridad/guias/guia_ws2003.asp