Seguridad y Privacidad

¿Vulnerabilidades? ¿Dónde?

Ing. Social y

Privacidad

Servidor Web y

Aplicaciones

Navegador

Navegación segura

Security Development Lifecycle (SDL)Modo ProtegidoSeguridad mejorada en Controles ActiveXData Execution Prevention (DEP)

Cookies HTTPOnly Políticas de grupoXDomainRequests – Cross Domain RequestsXDM – Cross Domain MessagingFiltro XSS – Cross Site ScriptingProtección contra ClickJacking

Certificados SSL con Extended Validation (EV)Filtro SmartScreen – Bloqueo de Phishing y MalwareDestaque del nombre de dominioBorrado de histórico mejoradoNavegación y Filtrado InPrivate

Navegador

Servidor Web y

Aplicaciones

Ing. Social y

Privacidad

- -

Navegador

Security Development Lifecycle (SDL)Metodología de desarrollo de software que ayuda a reducir el número de vulnerabilidades de forma sistemática.

The Security Development LifecycleMichael Howard and Steve LipnerMicrosoft Presshttp://www.microsoft.com/learning/en/us/book.aspx?ID=8753

Navegador

Modo ProtegidoEjecución del navegador en modo restringido (low Integrity Level), reduciendo de esta forma la superficie de ataque.

Mecanismos de seguridad necesarios:User Account Control (UAC)Integrity LevelsUser Interface Privilege Isolation (UIPI)

Disponible en:Windows VistaWindows 7Windows Server 2008Windows Server 2008 R2

Minimizó

impacto

de MS08-78 en

Windows Vista

Navegador

Seguridad mejorada en Controles ActiveX

ActiveX Killbits (IE5)Entrada en el registro (Compatibility Flags del CLSID) que impide la ejecución de un objeto o control marcado como no seguro cuando alojado en el navegador.

Opt-In (IE7)

Mecanismo que reduce el número de controles disponible para los sitios web y que permite al usuario decidir que controles quiere habilitar.

Navegador

Seguridad mejorada en Controles ActiveX

Per Site (IE8)Bloqueo de los controles para que solo se puedan lanzar desde los sites para los que se diseñaron.

Per User (IE8)Permite la instalación de ActiveX solo para el usuario, sin necesidad de permisos de administración o elevación de permisos. Se puede deshabilitar mediante política.

Navegador

Data Execution Prevention (DEP)Evita la ejecución de código en paginas de memoria de datos, marcadas como no ejecutables.

Habilitado por defecto en IE8

Deshabilitado por defecto en IE7 por temas de compatibilidad de algunos Add-Ons

Servidor Web y Aplicaciones

Cookies HTTPOnly Políticas de grupoXDomainRequests – Cross Domain RequestsXDM – Cross Domain MessagingFiltro XSS – Cross Site ScriptingProtección contra ClickJacking

Ing. Social y Privacidad

Certificados SSL con Extended Validation (EV)Estándar de certificados que aparte del canal de comunicación seguro, proporciona información adicional y verificación de la identidad del propietario de un sitio web.

Ing. Social y Privacidad

Filtro SmartScreen – Bloqueo de Phishing y MalwareMecanismo de seguridad que protege a los usuarios ante ataques de phishing o descarga y ejecución de malware.

Clasificación de sites basada en reputación de URLs

Evaluación de reputación de URLs basada en heurísticas y telemetría

Servicio de reputación de URLs de la plataforma Live

Ing. Social y Privacidad

Destaque del nombre de dominioHace más visible el nombre del dominio, ayudando al usuario a estar seguro del sitio web donde se está conectando

Ing. Social y Privacidad

Borrado de histórico mejorado

Mayor granularidad en el borrado de datos de navegación

Borrado selectivo de entradas del histórico

Posibilidad de mantener la información de los sitios favoritos

Ing. Social y Privacidad

Navegación y Filtrado InPrivate

Navegación InPrivatePermite navegar de forma segura sin almacenar información localmente en el PC (por ejemplo: ficheros temporales, histórico, acceso a cookies persistentes).

Filtrado InPrivatePermite controlar la información asociada a la navegación que se envía a terceros, posibilitando el bloqueo de contenidos de los mismos.

© 2009 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.