Características de Seguridad en Características de Seguridad en entornos servidor entornos servidor

Microsoft Windows Server 2003 y Microsoft Windows Server 2003 y Windows 2000Windows 2000

Trabajo Presentado Por:Trabajo Presentado Por:

GUSTAVO JUNIOR CHECALLA GUSTAVO JUNIOR CHECALLA CHOQUECHOQUE

¿Qué es TechNet?¿Qué es TechNet?

El recurso que ofrece la información El recurso que ofrece la información técnica más completa para ayudar a los técnica más completa para ayudar a los profesionales IT a evaluar, implantar, profesionales IT a evaluar, implantar, optimizar y dar soporte fácilmente a los optimizar y dar soporte fácilmente a los productos Microsoftproductos Microsoft

http://www.microsoft.com/spain/technethttp://www.microsoft.com/spain/technet

¿Qué ofrece TechNet?¿Qué ofrece TechNet?

Suscripción CD o DVDSuscripción CD o DVD Nuevos Servicios para suscriptores (Chat support & Managed newsgroups Nuevos Servicios para suscriptores (Chat support & Managed newsgroups

support)support) Recursos onlineRecursos online

Información y documentación técnica sobre los productos de Información y documentación técnica sobre los productos de MicrosoftMicrosoft

Descargas de softwareDescargas de software Area de seguridadArea de seguridad Participación en foros técnicosParticipación en foros técnicos Videos Técnicos OnlineVideos Técnicos Online Chats y Webcast técnicosChats y Webcast técnicos Newsgroups con técnicos de Microsoft Newsgroups con técnicos de Microsoft Cases Studies: ejemplos empresariales realesCases Studies: ejemplos empresariales reales

Boletín informativo TechNet FlashBoletín informativo TechNet Flash Seminarios y jornadas técnicas Microsoft TechNetSeminarios y jornadas técnicas Microsoft TechNet

AgendaAgenda

Importancia de la SeguridadImportancia de la Seguridad Mejoras de Seguridad en Windows Server Mejoras de Seguridad en Windows Server

2003.2003. Implementación de seguridad en Implementación de seguridad en

Windows Server 2003 y Windows 2000Windows Server 2003 y Windows 2000

Proteger las estaciones de trabajoProteger las estaciones de trabajoha sido cada vez más difícil debido a ha sido cada vez más difícil debido a

gran número de razones y gran número de razones y dificultades.dificultades.

La Seguridad es una Preocupación de La Seguridad es una Preocupación de Todos.Todos.

Los Sistemas de las Empresas están Los Sistemas de las Empresas están Globalmente Conectados y son cadaGlobalmente Conectados y son cada

vez más Complejos.vez más Complejos.

Los Ataques son cada vez más Los Ataques son cada vez más Sofisticados y Destructivos Sofisticados y Destructivos

Es difícil mantenerse al día con las Es difícil mantenerse al día con las Actualizaciones de SeguridadActualizaciones de Seguridad

Impacto en la Empresa.Impacto en la Empresa.

De acuerdo con el informe denominado “Computer De acuerdo con el informe denominado “Computer Crime and Security Survey” de 2001, realizado por el Crime and Security Survey” de 2001, realizado por el CSI (Computer Crime Institute) y el FBI:CSI (Computer Crime Institute) y el FBI: Pérdidas financieras Cuantificadas de al menos $377M, Pérdidas financieras Cuantificadas de al menos $377M,

ó $2M por cada uno de los encuestados.ó $2M por cada uno de los encuestados. El 40% detectó penetración en los sistemas desde el exterior; El 40% detectó penetración en los sistemas desde el exterior;

siendo un 25% en 2000siendo un 25% en 2000 El 94% detectó virus informáticos; siendo un 85% in 2000El 94% detectó virus informáticos; siendo un 85% in 2000

Los Fallos de Seguridad Tienen Costes RealesLos Fallos de Seguridad Tienen Costes Reales

Fuente: Computer Security Institute (CSI) Computer Crime and Fuente: Computer Security Institute (CSI) Computer Crime and Security Survey 2001 Security Survey 2001Fuente: InformationWeek.com, 10/15/01Fuente: InformationWeek.com, 10/15/01

Érase Una Vez…Érase Una Vez…(No Hace Tanto Tiempo)(No Hace Tanto Tiempo)

Mainframes conectados a Mainframes conectados a “terminales tontos” . “terminales tontos” . Era relativamente fácil Era relativamente fácil establecer Seguridad.establecer Seguridad.

MainframeMainframe

Arquitectura Arquitectura Cliente/Servidor. Se Cliente/Servidor. Se aumenta la Productividad y aumenta la Productividad y se está expuesto a nuevos se está expuesto a nuevos niveles de riesgo.niveles de riesgo.

Se Introdujeron Nuevas Se Introdujeron Nuevas Tecnologías…Tecnologías…

ServersServersMainframeMainframe

Internet y la movilidad Internet y la movilidad aumentan los riesgos de aumentan los riesgos de Seguridad…Seguridad…

ServidoresServidores

ClientesClientes

MainframeMainframe

Evolución de las Evolución de las AmenazasAmenazas

Ataques desde dentro por usuarios Ataques desde dentro por usuarios “autorizados”.“autorizados”.

Corrupción de datos, pérdida de Corrupción de datos, pérdida de datos.datos.

Penetración de Hackers Penetración de Hackers (generalmente inocuo)(generalmente inocuo)

Amenazas anteriores, Amenazas anteriores, MÁSMÁS:: Penetraciones maliciosas Penetraciones maliciosas

destructivas.destructivas. Ataques de virus destructivos.Ataques de virus destructivos.

Amenazas anteriores, Amenazas anteriores, MÁSMÁS:: Caídas y Bloqueos de Sistemas.Caídas y Bloqueos de Sistemas. Manipulación y Robo de los Manipulación y Robo de los

Datos.Datos.

Herramientas de Seguridad en el Kit de Herramientas de Seguridad en el Kit de RecursosRecursos

AutoSaveAutoSave Macro Security – preguntar antes de abrirMacro Security – preguntar antes de abrir Protección de clave en el SalvaPantallas.Protección de clave en el SalvaPantallas. Soporte multi-usuario LimitadoSoporte multi-usuario Limitado

Herramientas y Características existentes, Herramientas y Características existentes, MÁSMÁS :: Seguridad de Macros Multi-Nivel y firma de Seguridad de Macros Multi-Nivel y firma de

código.código. Seguridad de Adjuntos Multi-Nivel en Outlook.Seguridad de Adjuntos Multi-Nivel en Outlook. Encriptación de Documentos; Claves en los Encriptación de Documentos; Claves en los

Documentos.Documentos. Internet Connection Firewall con ISA ServerInternet Connection Firewall con ISA Server Sistema de Ficheros Encriptados, PKISistema de Ficheros Encriptados, PKI Seguridad a Nivel de Usuario, Group Policy Seguridad a Nivel de Usuario, Group Policy

Objects, Auditorías.Objects, Auditorías. Soporte para Smart Cards, Soporte Multi-usuario Soporte para Smart Cards, Soporte Multi-usuario

completo.completo.

2000

2002

1997

Herramientas y Características existentes, Herramientas y Características existentes, MÁSMÁS :: Seguridad en Outlook Multi-Nivel.Seguridad en Outlook Multi-Nivel. Encriptación Advanzada.Encriptación Advanzada. Herramientas de Gestión de la Seguridad Herramientas de Gestión de la Seguridad

Centralizadas.Centralizadas. AutoRecovery AutoRecovery Conectividad Wireless Integrada.Conectividad Wireless Integrada. Internet Connection Firewall integrado.Internet Connection Firewall integrado.

Evolución de la Tecnología Evolución de la Tecnología

Windows XP y Windows 2003Windows XP y Windows 2003

La Seguridad es tan Fuerte La Seguridad es tan Fuerte como el Eslabón más Débil.como el Eslabón más Débil. La Tecnología no es ni el problema La Tecnología no es ni el problema

completo, ni la solución completa.completo, ni la solución completa. Los Sistemas de Seguridad dependen Los Sistemas de Seguridad dependen

de: Tecnología, Procesos y Personas.de: Tecnología, Procesos y Personas.

Estándares, Encriptación, ProtecciónEstándares, Encriptación, ProtecciónCaracterísticas de Seguridad en los ProductosCaracterísticas de Seguridad en los ProductosHerramientas y Productos de SeguridadHerramientas y Productos de Seguridad

Planificación de la SeguridadPlanificación de la SeguridadPrevenciónPrevenciónDetecciónDetecciónReacciónReacción

Tecnología, Procesos, PersonasTecnología, Procesos, Personas

Personal dedicadoPersonal dedicadoFormaciónFormaciónSeguridad – mentalización y prioridadSeguridad – mentalización y prioridad

Secure by DeploymentSecure by Deployment Nuevas herramientas de Nuevas herramientas de

gestión de parches. gestión de parches. 7 Cursos disponibles en 7 Cursos disponibles en

Microsoft Official CurriculumMicrosoft Official Curriculum Guías de Configuración de Guías de Configuración de

Seguridad Oficiales.Seguridad Oficiales. Herramientas de Seguridad Herramientas de Seguridad

integradas.integradas.

Secure by DesignSecure by Design Construir una arquitectura Construir una arquitectura

Segura Segura Añadir características de Añadir características de

SeguriadSeguriad Revisión de código y tests de Revisión de código y tests de

penetración.penetración.

Secure by DefaultSecure by Default 60% menos en la superficie de 60% menos en la superficie de

ataque por defecto respecto a ataque por defecto respecto a Windows NT 4.0 SP3Windows NT 4.0 SP3

20+ servicios que no están por 20+ servicios que no están por defecto.defecto.

Instalación de Servicios en Instalación de Servicios en modo seguro (IIS 6.0 modo seguro (IIS 6.0 Lockdown)Lockdown)

Marco de la Seguridad: SDMarco de la Seguridad: SD33+C +C

CommunicationsCommunications Writing Secure Code 2.0Writing Secure Code 2.0 Webcasts de ArchitecturaWebcasts de Architectura Conferencias como el IT FourmConferencias como el IT Fourm

AgendaAgenda

La importancia de la SeguridadLa importancia de la Seguridad Mejoras de Seguridad en Windows Server Mejoras de Seguridad en Windows Server

2003.2003.

Seguridad en Directorio Activo Seguridad en Directorio Activo Relaciones de Confianza entre BosquesRelaciones de Confianza entre Bosques

Permite a los Administradores crear relaciones de Permite a los Administradores crear relaciones de confianza externas “forest-to-forest”confianza externas “forest-to-forest”

Autenticación entre BosquesAutenticación entre Bosques Permite acceso seguro a los recursos cuando la cuenta Permite acceso seguro a los recursos cuando la cuenta

del usuario está en un Bosque y la cuenta de máquina del usuario está en un Bosque y la cuenta de máquina pertenece a otro Bosque. pertenece a otro Bosque.

Autorización entre BosquesAutorización entre Bosques Permite a los Administradores seleccionar usuarios y Permite a los Administradores seleccionar usuarios y

grupos de Bosques de confianza para incluirlos en grupos grupos de Bosques de confianza para incluirlos en grupos locales o ACLs. locales o ACLs.

IAS y Autenticación entre BosquesIAS y Autenticación entre Bosques Si los Bosques del Dir. Activo están em modo “cross-Si los Bosques del Dir. Activo están em modo “cross-

forest” con relaciones de confianza bidireccionales, forest” con relaciones de confianza bidireccionales, entonces IAS/RADIUS pueden autenticar la cuenta de entonces IAS/RADIUS pueden autenticar la cuenta de usuario del otro Bosque.usuario del otro Bosque.

DemoDemo

Relaciones de Relaciones de Confianza Confianza entre Bosquesentre Bosques

Mejoras en PKIMejoras en PKI

Soporte de Certificaciones Cruzadas. Soporte de Certificaciones Cruzadas. Plantillas de Certificados Personalizables Plantillas de Certificados Personalizables

(Versión 2)(Versión 2) Delta CRLsDelta CRLs Key Archival/RecoveryKey Archival/Recovery Auto-enrollmentAuto-enrollment Auditoría de las acciones del Administrador.Auditoría de las acciones del Administrador.

Ref.: Windows Server 2003 PKI Operations GuideRef.: Windows Server 2003 PKI Operations Guidehttp://www.microsoft.com/technet/prodtechnol/windowshttp://www.microsoft.com/technet/prodtechnol/windowsserver2003/maintain/operate/ws03pkog.aspserver2003/maintain/operate/ws03pkog.asp

Mejoras en IISMejoras en IIS

Revisiones de código por parte de expertos Revisiones de código por parte de expertos en seguridad independientesen seguridad independientes

No se instala por defecto No se instala por defecto Servidor en estado “bloqueado por defecto”Servidor en estado “bloqueado por defecto” Extensiones del servidor Web bloqueadas Extensiones del servidor Web bloqueadas

por defecto.por defecto. Identidad de procesos de usuario Identidad de procesos de usuario

configurables.configurables. Cuenta de servicios con pocos priviliegiosCuenta de servicios con pocos priviliegios

PermisosPermisos Permisos NFTS por defecto bloqueados:Permisos NFTS por defecto bloqueados:

Antes: Antes: EveryoneEveryone Full ControlFull Control Ahora: Ahora:

EveryoneEveryone, , ReadRead y y ExecuteExecute (Sólo en Root) (Sólo en Root) UsuariosUsuarios, , ReadRead and and ExecuteExecute, , Create FolderCreate Folder, , Create FileCreate File SYSTEMSYSTEM, , CreatorCreator, , AdministratorsAdministrators Full ControlFull Control

Permisos por defecto en Shares:Permisos por defecto en Shares: Antes: Antes: EveryoneEveryone Full ControlFull Control Ahora: Ahora: EveryoneEveryone ReadRead

Nuevas Características:Nuevas Características: Herramienta de Permisos EfectivosHerramienta de Permisos Efectivos Cambiar el Owner mediante GUICambiar el Owner mediante GUI

DemoDemo

Interfaz de Usuario Interfaz de Usuario para los Permisospara los Permisos

Qué tiene en común todos Qué tiene en común todos estos Servicios?estos Servicios?

AlerterAlerter ClipbookClipbook Distributed Link Tracking (Server)Distributed Link Tracking (Server) Imapi CDROM Burning ServiceImapi CDROM Burning Service Human Interface DevicesHuman Interface Devices ICS/ICFICS/ICF Intersite MessagingIntersite Messaging KDCKDC License Logging ManagerLicense Logging Manager Terminal Server Discovery Service Terminal Server Discovery Service Windows Image AcquisitionWindows Image Acquisition

MessengerMessenger NetMeetingNetMeeting NetDDENetDDE NetDDE DSDMNetDDE DSDM RRASRRAS TelnetTelnet ThemesThemes WebClientWebClient Windows AudioWindows Audio

Inicio = DeshabilitadoInicio = Deshabilitado

Cuentas de Servicio del SistemaCuentas de Servicio del Sistema

Local Service y Network ServiceLocal Service y Network ServiceNo hay que gestionar passwordsNo hay que gestionar passwordsSe ejecuta con ligeramente más permisos que Authenticated Se ejecuta con ligeramente más permisos que Authenticated

UserUser Local Service no se puede autenticar a través de la red, Local Service no se puede autenticar a través de la red,

Network Service se autentica como la cuenta de máquina.Network Service se autentica como la cuenta de máquina.

Local SystemLocal System No hay que gestionar passwordsNo hay que gestionar passwords Se salta los chequeos de seguridadSe salta los chequeos de seguridad

Cuentas de UsuarioCuentas de Usuario Se ejecuta con menos privilegios que Local System Se ejecuta con menos privilegios que Local System Almacena el password como un LSA secretAlmacena el password como un LSA secret Pueden ser complejas en la configuraciónPueden ser complejas en la configuración

Internet Connection FirewallInternet Connection Firewall Apareció incialmente en Windows XPApareció incialmente en Windows XP Se habilita en cada interfazSe habilita en cada interfaz Soporta LAN, Wireless, RASSoporta LAN, Wireless, RAS Elimina por defecto todo el tráfico IP Elimina por defecto todo el tráfico IP

de entradade entrada Bloquea por defecto el tráfico ICMPBloquea por defecto el tráfico ICMP Se pueden crear reglas para permitir Se pueden crear reglas para permitir

el acceso a serviciosel acceso a servicios Puede registrar peticiones aceptadas Puede registrar peticiones aceptadas

y rechazadas.y rechazadas.

Nuevas Caracterísitcas de IPSecNuevas Caracterísitcas de IPSecGestiónGestión IP Security Monitor IP Security Monitor Gestión en línea de comando con NetshGestión en línea de comando con Netsh Direcciones lógicas para configuración IP localDirecciones lógicas para configuración IP local

SeguridadSeguridad Criptografía más Robusta (Diffie-Hellman) Criptografía más Robusta (Diffie-Hellman) Seguridad en el Inicio del SistemaSeguridad en el Inicio del Sistema Política persistente.Política persistente.

InteroperabilidadInteroperabilidad Funcionalidad de IPSec con (NAT)Funcionalidad de IPSec con (NAT) Integración mejorada de IPSec con NLBIntegración mejorada de IPSec con NLB

Reglas de Excepción por defecto en Reglas de Excepción por defecto en IPSecIPSec

Se almacenan en el Registro:Se almacenan en el Registro:HKLM\SYSTEM\CurrentControlSet\Services\IPSEC\NoDefaultExemptHKLM\SYSTEM\CurrentControlSet\Services\IPSEC\NoDefaultExempt

Valores deValores deNoDefaultExemptNoDefaultExempt 00 11 22 33

RSVPRSVP IKEIKE KerberosKerberos MulticastMulticast BroadcastBroadcast

IKE IKE MulticastMulticast BroadcastBroadcast

RSVPRSVP IKEIKE KerberosKerberos

IKEIKE

RSVPRSVP IKEIKE KerberosKerberos MulticastMulticast BroadcastBroadcast

IKE IKE MulticastMulticast BroadcastBroadcast

XX XX

Seguridad de Inicio de IPSecSeguridad de Inicio de IPSec

DemoDemo

Network Access Network Access Quarantine para Quarantine para RRASRRAS

Qué es Network Access Quarantine?Qué es Network Access Quarantine?

El Cliente RAS El Cliente RAS cumple la política de cumple la política de

CuarentenaCuarentena

El cliente El cliente RAS RAS

consigue consigue acceso total acceso total

a la reda la red

Cliente RAS Cliente RAS desconectadodesconectado

1.1. El cliente RAS no El cliente RAS no cumple la política de cumple la política de CuarentenaCuarentena

2.2. Se alcanza el timeout Se alcanza el timeout de Cuarentenade Cuarentena

Cliente RAS puesto Cliente RAS puesto en Cuarentenaen Cuarentena

El cliente Remoto se El cliente Remoto se AutenticaAutentica

Qué son las reglas de política?Qué son las reglas de política?Las reglas de política de CuarentenaLas reglas de política de Cuarentena son son configurables, las reglas comunes pueden configurables, las reglas comunes pueden incluirincluir::

Service packs ó los últimos hotfixes Service packs ó los últimos hotfixes instaladosinstalados

Software Antivirus instaladoSoftware Antivirus instalado Ficheros de firmas de detección de Virus Ficheros de firmas de detección de Virus

actualizados.actualizados. Routing deshabilitado en el cliente RASRouting deshabilitado en el cliente RAS Internet Connection Firewall habilitadoInternet Connection Firewall habilitado Salvapantallas con protección de Salvapantallas con protección de

password habilitado.password habilitado.

Arquitectura de CuarentenaArquitectura de Cuarentena

Perfil CMPerfil CM• Ejecuta script Ejecuta script

personalizable personalizable post-conexiónpost-conexión

• El Script ejecuta El Script ejecuta notificador RQC notificador RQC con “cadena de con “cadena de resultados”resultados”

ListenerListener• RQS recibe del notificadorRQS recibe del notificador

“cadena de resultados”“cadena de resultados”• Compara cadena con Compara cadena con posibles resultadosposibles resultados• Elimina time-out si se Elimina time-out si se recibe respuesta perorecibe respuesta pero

el cliente no está el cliente no está actualizadoactualizado• Quita la cuarentena si elQuita la cuarentena si el cliente está actualizado.cliente está actualizado.

VSAs de CuarentenaVSAs de Cuarentena• MS-Quarantine-

Session-Timeout• MS-Quarantine-

IPFilter

Internet

Cliente RASCliente RAS Servidor RRASServidor RRAS

ServidorServidorIASIAS

CuarentenaCuarentena

RQC.exe y RQS.exe están en el Kit de Recursos de RQC.exe y RQS.exe están en el Kit de Recursos de Windows Server 2003Windows Server 2003

Proceso DetalladoProceso Detallado

ConnectConnect

AuthenticateAuthenticate

AuthorizeAuthorizeQuarantine VSAQuarantine VSA+ Normal Filters+ Normal Filters

Policy CheckPolicy CheckResultResult

Remove QuarantineRemove Quarantine

QuarantineQuarantineAccessAccess

Full AccessFull Access

InternetCliente RASCliente RAS

Servidor RRASServidor RRAS Servidor IASServidor IAS

QuarantineQuarantine

Políticas de Políticas de Restricción deRestricción deSoftware.Software.

Qué hace SRPQué hace SRP SRP puede:SRP puede:

Controlar qué programas se pueden Controlar qué programas se pueden ejecutar en una máquinaejecutar en una máquina

Permitir a los usuarios ejecutar Permitir a los usuarios ejecutar exclusivamente ficheros específicos en exclusivamente ficheros específicos en máquinas con múltiples usuarios. máquinas con múltiples usuarios.

Controlar si las políticas de restricción de Controlar si las políticas de restricción de software afectan a todos ó a usuarios software afectan a todos ó a usuarios específicos. específicos.

Evitar que programas específicos se Evitar que programas específicos se ejecuten en:ejecuten en: Máquina LocalMáquina Local Cualquier máquina en una OU, Site, ó DominioCualquier máquina en una OU, Site, ó Dominio

Políticas de Restricción de SoftwarePolíticas de Restricción de Software Dos modos: Disallowed, UnrestrictedDos modos: Disallowed, Unrestricted Control de código ejecutable:Control de código ejecutable:

.ADE.ADE .ADP .ADP .BAS.BAS .BAT.BAT .CHM.CHM .CMD.CMD .CPL.CPL .CRT.CRT .EXE .EXE .HLP.HLP .HTA.HTA .INF.INF

.INS.INS .ISP.ISP .JS.JS .JSE.JSE .LNK.LNK .MDB.MDB .MDE.MDE .MSC.MSC .MSI.MSI .MSP.MSP .MST.MST .PCD.PCD

.PIF .REG .SCR .SCT .SHS .URL .VB .VBE .VBS .WSC .WSF .WSH

Contra qué no nos protege SRPContra qué no nos protege SRP

Drivers u otro software en modo kernelDrivers u otro software en modo kernel No puede protegernos de SYSTEMNo puede protegernos de SYSTEM

Cualquier programa con cuenta SYSTEM.Cualquier programa con cuenta SYSTEM. No puede protegernos de SYSTEMNo puede protegernos de SYSTEM

Macros dentro de documentos Microsoft Macros dentro de documentos Microsoft Office 2000 ó Office XP.Office 2000 ó Office XP. Utilizar opciones de seguridad de MacrosUtilizar opciones de seguridad de Macros

Programas escritos para “common language Programas escritos para “common language runtime”. runtime”. Estos programas utilizan “Code Access Security”Estos programas utilizan “Code Access Security”

Tipos de reglas SRPTipos de reglas SRP

Regla de PathRegla de Path Compara el path de un fichero Compara el path de un fichero

contra una lista de paths contra una lista de paths permitidospermitidos

Utilizar cuando se tiene una Utilizar cuando se tiene una carpeta con múltiples ficheros de carpeta con múltiples ficheros de una aplicación.una aplicación.

Regla HashRegla Hash Compara el hash MD5 ó SHA1 Compara el hash MD5 ó SHA1

de un fichero respecto del que de un fichero respecto del que se intenta ejecutarse intenta ejecutar

Utilizarlo cuando se quiere Utilizarlo cuando se quiere permitir/prohibir la ejecución permitir/prohibir la ejecución de cierta versión de un fichero.de cierta versión de un fichero.

Regla de CertificadoRegla de Certificado

Chequea la firma digital de las Chequea la firma digital de las aplicaciones (i.e.Authenticode)aplicaciones (i.e.Authenticode)

Utilizar cuando se quiera Utilizar cuando se quiera restringir tanto aplicaciones restringir tanto aplicaciones win32 como contenido ActiveX win32 como contenido ActiveX

Regla de Zona InternetRegla de Zona Internet Controla cómo se puede Controla cómo se puede

acceder a Zonas de Internetacceder a Zonas de Internet Utilizar en entornos de alta Utilizar en entornos de alta

seguridad para controlar el seguridad para controlar el acceso a aplicaciones webacceso a aplicaciones web

Precedencia de las ReglasPrecedencia de las Reglas Qué ocurre cuando un programa Qué ocurre cuando un programa

cumple varias reglas? cumple varias reglas? Intentando ejecutar la calculadoraIntentando ejecutar la calculadora

c:\winntc:\winnt UnrestrictedUnrestrictedA6A44A0E8A76C7B2174DE68C5B0F724D:114688:32771A6A44A0E8A76C7B2174DE68C5B0F724D:114688:32771 DisallowedDisallowedc:\winnt\system32\calc.exec:\winnt\system32\calc.exe DisallowedDisallowed

Tiene precedencia la regla más Tiene precedencia la regla más específica:específica:1.1. Hash ruleHash rule2.2. Certificate ruleCertificate rule3.3. Path rulePath rule4.4. Zone ruleZone rule

Mejoras GeneralesMejoras Generales

Mejoras GeneralesMejoras Generales Cambio en la prioridad de búsqueda de Cambio en la prioridad de búsqueda de

DLL desde el directorio de trabajo a \DLL desde el directorio de trabajo a \windows\system32windows\system32

Encriptación por defecto AES-256-bit Encriptación por defecto AES-256-bit en EFSen EFS

El grupo Everyone ya no incluye El grupo Everyone ya no incluye usuarios anónimos (Users y Guests)usuarios anónimos (Users y Guests)

Encriptación WebDAVEncriptación WebDAV Carpetas offline encriptadasCarpetas offline encriptadas

Mejoras GeneralesMejoras Generales Soporte PEAPSoporte PEAP Delegación restringidaDelegación restringida Auditoría de seguridad detallada.Auditoría de seguridad detallada. Auditoría de inicio de sesión de Auditoría de inicio de sesión de

cuentas habilitado por defecto.cuentas habilitado por defecto. Integración DPAPIIntegración DPAPI Fichero de Ayuda ampliado en temas Fichero de Ayuda ampliado en temas

de Seguridadde Seguridad

Las Personas son los Las Personas son los Activos de más valor.Activos de más valor.

Plantilla de Seguridad dedicadaPlantilla de Seguridad dedicada Grupo de Seguridad especializadoGrupo de Seguridad especializado Experiencia específica en seguridadExperiencia específica en seguridad

FormaciónFormación Formación en estándares, tecnologías, y procesosFormación en estándares, tecnologías, y procesos

Contribución de todas las partes de la Contribución de todas las partes de la Organización.Organización. Conocimiento y cumplimiento de las directrices de Conocimiento y cumplimiento de las directrices de

la empresa para la seguridad física, políticas de la empresa para la seguridad física, políticas de passwords, procedimientos de acceso a datos.passwords, procedimientos de acceso a datos.

Quarantine Whitepaper:Quarantine Whitepaper:

Network Access Quarantine Whitepaper:Network Access Quarantine Whitepaper:http://www.microsoft.com/windowsserver2003/techinfo/overview/quarantine.mspx

Software Restriction PolicySoftware Restriction Policyhttp://www.microsoft.com/windows2000/technologies/security/redir-wnetsafer.asp

Windows Server 2003 Resource Kit Tools Download:Windows Server 2003 Resource Kit Tools Download:http://go.microsoft.com/fwlink/?LinkId=4544

ApéndiceApéndice

Windows Server 2003 Security Windows Server 2003 Security Configuration GuideConfiguration Guide

Windows Server 2003 Security GuideWindows Server 2003 Security Guidehttp://go.microsoft.com/fwlink/?LinkId=14846http://go.microsoft.com/fwlink/?LinkId=14846

Threats and Countermeasures: Security Threats and Countermeasures: Security Settings in Windows Server 2003 and Settings in Windows Server 2003 and Windows XPWindows XPhttp://go.microsoft.com/fwlink/?LinkId=15160http://go.microsoft.com/fwlink/?LinkId=15160

Implementación de Implementación de Seguridad en el Seguridad en el Servidor Windows Servidor Windows 2000 y Windows 2000 y Windows Server 2003Server 2003

AgendaAgenda

Necesidad de Seguridad.Necesidad de Seguridad. Definición del Problema.Definición del Problema. Seguridad de Servidores.Seguridad de Servidores. Seguridad del Dominio.Seguridad del Dominio. Fortificación de ServidoresFortificación de Servidores Política para Servidores Independientes.Política para Servidores Independientes. Fortificación de Controladores de Fortificación de Controladores de

Dominio.Dominio. Fortificación de Servidores según su RolFortificación de Servidores según su Rol

Conocimientos NecesariosConocimientos Necesarios

Experiencia en conocimiento relacionado Experiencia en conocimiento relacionado con Seguridad de Windows 2000 ó 2003.con Seguridad de Windows 2000 ó 2003.

Familiaridad con herramientas de Gestión Familiaridad con herramientas de Gestión de Windows.de Windows.

Familiaridad con Políticas de Grupo. Familiaridad con Políticas de Grupo.

Level 200Level 200

AgendaAgenda

Necesidad de Seguridad.Necesidad de Seguridad. Definición del Problema.Definición del Problema. Seguridad de Servidores.Seguridad de Servidores. Seguridad del Dominio.Seguridad del Dominio. Fortificación de ServidoresFortificación de Servidores Política para Servidores Independientes.Política para Servidores Independientes. Fortificación de Controladores de Fortificación de Controladores de

Dominio.Dominio. Fortificación de Servidores según su RolFortificación de Servidores según su Rol

Necesidad de SeguridadNecesidad de Seguridad

Proteger InformaciónProteger Información Proteger los canales de informaciónProteger los canales de información Minimizar paradas del servicioMinimizar paradas del servicio Proteger los beneficios.Proteger los beneficios. Evitar daño a la imagenEvitar daño a la imagen Proteger los procesos de los trabajadoresProteger los procesos de los trabajadores

Definición del ProblemaDefinición del ProblemaPequeña y Mediana Empresa Pequeña y Mediana Empresa

Domain Controller SQL Server

IIS Server

File ServerPrint Server

Los Servidores cumplen multitud de Roles.Los Servidores cumplen multitud de Roles. Servidores LimitadosServidores Limitados Recursos Disponibles LimitadosRecursos Disponibles Limitados Características de Disponibilidad de Servicio Características de Disponibilidad de Servicio

Limitada.Limitada.

Definición del ProblemaDefinición del ProblemaPequeña y Mediana EmpresaPequeña y Mediana Empresa Amenaza AccidentalAmenaza Accidental Amenaza InternaAmenaza Interna Servidor Comprometido ó FallidoServidor Comprometido ó Fallido

Afecta a múltiples ServiciosAfecta a múltiples Servicios

Discover

Request

Acknowledge Offer

Definición del ProblemaDefinición del ProblemaPequeña y Mediana EmpresaPequeña y Mediana Empresa Acceso a InternetAcceso a Internet

Recursos Limitados para implementar Seguridad Recursos Limitados para implementar Seguridad completa.completa.

Posibilidad de acceso malicioso a la red.Posibilidad de acceso malicioso a la red.

DomainController

File and PrintDHCP

Firew all

Workstation

Mail/IISServ er

ApplicationServ er Workstation

Definición del ProblemaDefinición del ProblemaPequeña y Mediana EmpresaPequeña y Mediana Empresa Departamentos IT pequeños.Departamentos IT pequeños.

No existe experiencia específica en Seguridad.No existe experiencia específica en Seguridad.

Administrador del Dominio con algo de conocimiento en Seguridad.

Soporte a Usuarios

Poco conocimiento en Seguridad

Soporte de Aplicaciones

Algún Conocimiento de Seguridad de Aplicaciones.

Definición del ProblemaDefinición del ProblemaPequeña y Mediana EmpresaPequeña y Mediana Empresa Utilización de Sistemas antiguosUtilización de Sistemas antiguos

NO son posibles algunas configuraciones de NO son posibles algunas configuraciones de SeguridadSeguridad

No se puede establecer comunicación SMB firmada digitalmente

Seguridad de ServidoresSeguridad de ServidoresSeguridad FísicaSeguridad Física El acceso físico a los Servidores anula algunos El acceso físico a los Servidores anula algunos

procedimientos de Seguridadprocedimientos de Seguridad

Seguridad de ServidoresSeguridad de ServidoresAcceso Autorizado SeguroAcceso Autorizado Seguro Componentes de un Acceso Autorizado Componentes de un Acceso Autorizado

SeguroSeguro AutenticaciónAutenticación Listas de Control de AccesoListas de Control de Acceso Cuenta del Administrador por defectoCuenta del Administrador por defecto

Un Acceso Autorizado Seguro Un Acceso Autorizado Seguro proporcionaproporciona ConfidencialidadConfidencialidad IntegridadIntegridad SeguimientoSeguimiento

Seguridad del DominioSeguridad del DominioFronteras del DominioFronteras del Dominio Fronteras de SeguridadFronteras de Seguridad

BosqueBosque Administradores FiablesAdministradores Fiables

Fronteras de GestiónFronteras de Gestión DominioDominio Unidades OrganizativasUnidades Organizativas

Fronteras AdministrativasFronteras Administrativas Administradores del DominioAdministradores del Dominio Administradores de ServiciosAdministradores de Servicios Administradores de DatosAdministradores de Datos

Seguridad del DominioSeguridad del DominioConfiguración de SeguridadConfiguración de Seguridad

Unidades OrganizativasUnidades Organizativas Grupos AdministrativosGrupos Administrativos Plantillas de SeguridadPlantillas de Seguridad Sincronización de TiempoSincronización de Tiempo

KerberosKerberos

Seguridad del DominioSeguridad del DominioPolítica del DominioPolítica del Dominio

Account Policies

User Rights Assignment

Security Options

Políticas de CuentasPolíticas de Cuentas Políticas de ClavesPolíticas de Claves Políticas de BloqueoPolíticas de Bloqueo Políticas KerberosPolíticas Kerberos

Demonstrar Estructuras de OU Demonstrar Estructuras de OU Demostrar Grupos Demostrar Grupos

Administrativos Crear y Mostrar Administrativos Crear y Mostrar los Fiecheros .inf de las Plantillas los Fiecheros .inf de las Plantillas

de Seguridad. de Seguridad. Demostrar Configuraciones de Demostrar Configuraciones de

Políticas de CuentasPolíticas de Cuentas

Demo 1Demo 1 Política del DominioPolítica del Dominio

Securidad vs FunctionalidadSecuridad vs Functionalidad Configuraciones de SeguridadConfiguraciones de Seguridad Limitar la Superficie de AtaqueLimitar la Superficie de Ataque Evitar Acceso InnecesarioEvitar Acceso Innecesario Comunicación SeguraComunicación Segura Actualizaciones de SeguridadActualizaciones de Seguridad

Fortificación de ServidoresFortificación de Servidores

Microsoft Baseline Security AnalyzerMicrosoft Baseline Security Analyzer Análisis y Configuración de SeguridadAnálisis y Configuración de Seguridad Plantillas de SeguridadPlantillas de Seguridad Group PolicyGroup Policy SeceditSecedit GPResultGPResult GPUpdateGPUpdate

Fortificación de ServidoresFortificación de Servidores

Política para Servidores Política para Servidores IndependientesIndependientesParámetros de las PolíticasParámetros de las Políticas Aplicar Políticas a la OU de Servidores Aplicar Políticas a la OU de Servidores

IndependientesIndependientes Configuración Heredada por las OU hijasConfiguración Heredada por las OU hijas

Política de Auditoría

Asignación de Derechos de Usuario

Opciones de Seguridad

Registros de Eventos

Servicios del Sistema

Servidores Independientes

Política para Servidores Política para Servidores IndependientesIndependientesLínea Base de SeguridadLínea Base de Seguridad Configuración ManualConfiguración Manual

Renombrar y cambiar la descripcion de las Renombrar y cambiar la descripcion de las cuentas pre-definidascuentas pre-definidas

Restringir el acceso de las cuentas pre-Restringir el acceso de las cuentas pre-definidas y cuentas de serviciodefinidas y cuentas de servicio

No utilizar cuentas del dominio para los No utilizar cuentas del dominio para los servicios en la medida de lo posibleservicios en la medida de lo posible

Utilizar NTFSUtilizar NTFS Configurar encriptación en Terminal ServicesConfigurar encriptación en Terminal Services No configurar “error reporting” (Sólo en No configurar “error reporting” (Sólo en

Windows Server 2003)Windows Server 2003)

Demo 2Demo 2 Aplicar la Política de Aplicar la Política de

Servidores Servidores IndependientesIndependientes Aplicar PolíticaAplicar Política

GPUpdateGPUpdateGPResultGPResult

Fortificación de Controladores Fortificación de Controladores de Dominio de Dominio Parámetros de las PolíticasParámetros de las Políticas A los Domain Controllers no les afecta la A los Domain Controllers no les afecta la

política de Servidores Independientespolítica de Servidores Independientes Aplicar la Política a la OU de Domain Aplicar la Política a la OU de Domain

Controllers Controllers

Política de Auditoría

Asignación de Derechos de Usuario

Opciones de Seguridad

Registros de Sucesos

Servicios del Sistema

Domain Controllers

Fortificación de Controladores Fortificación de Controladores de Domino de Domino Parámetros AdicionalesParámetros Adicionales

AdicionalmenteAdicionalmente Cuentas específicas del Dominio en la Asignación de Cuentas específicas del Dominio en la Asignación de

Derechos de UsuarioDerechos de Usuario Ubicación del fichero log de Active DirectoryUbicación del fichero log de Active Directory Utilidad System Key(Syskey)Utilidad System Key(Syskey) DNS integrado en Active DirectoryDNS integrado en Active Directory IP Security (IPSec)IP Security (IPSec)

Demo 3Demo 3 Fortificación de Fortificación de

Controladores de DominioControladores de Dominio

Aplicar la Política de Domain Aplicar la Política de Domain Controller Ver SysKeyController Ver SysKey

Fortificación de Servidores Según Fortificación de Servidores Según su Rolsu RolServidores de InfraestructuraServidores de Infraestructura Heredan la configuración de la Política de Heredan la configuración de la Política de

Servidores IndependientesServidores Independientes Configurar parámetros de ServiciosConfigurar parámetros de Servicios

Dynamic Host Configuration Protocol (DHCP)Dynamic Host Configuration Protocol (DHCP) Windows Internet Name Service (WINS)Windows Internet Name Service (WINS)

Registro de Servicios

Características de Disponibilidad

Seguridad en cuentas locales

IPSec

Fortificación de Servidores Según Fortificación de Servidores Según su Rolsu RolServidores de FicherosServidores de Ficheros Hereda la configuración de la política de Servidores Hereda la configuración de la política de Servidores

IndependientesIndependientes Configurar ServiciosConfigurar Servicios

Distributed File System (DFS)Distributed File System (DFS) File Replication Service (FRS)File Replication Service (FRS)

Asegurar cuentas pre-definidas y de serviciosAsegurar cuentas pre-definidas y de servicios Configurar IPSecConfigurar IPSec

Fortificación de Servidores Según Fortificación de Servidores Según su Rolsu RolServidores de ImpresorasServidores de Impresoras Hereda la configuración de la política de Servidores Hereda la configuración de la política de Servidores

IndependientesIndependientes Configurar Opciones de SeguridadConfigurar Opciones de Seguridad Configurar ServiciosConfigurar Servicios Asegurar cuentas pre-definidas y de ServiciosAsegurar cuentas pre-definidas y de Servicios Configurar IPSecConfigurar IPSec

Fortificación de Servidores Según su Fortificación de Servidores Según su RolRolInternet Information Services (IIS)Internet Information Services (IIS) Hereda los valores de la Política de Servidores Hereda los valores de la Política de Servidores

IndependientesIndependientes Configurar asignación de derechos de usuariosConfigurar asignación de derechos de usuarios Configurar ServiciosConfigurar Servicios Habilitar únicamente los componentes esenciales de Habilitar únicamente los componentes esenciales de

IISIIS IIS deshabilitado por defecto en Windows Server IIS deshabilitado por defecto en Windows Server

2003 2003 Instalación nueva únicamente en servidores con Instalación nueva únicamente en servidores con

contenido estáticocontenido estático Asegurar cuentas pre-definidas y de servicioAsegurar cuentas pre-definidas y de servicio Configurar IPSecConfigurar IPSec

Demo 4Demo 4 Fortificación de Servidores Fortificación de Servidores

Según su RolSegún su Rol

Demonstrar Seguridad en IIS Demonstrar Seguridad en IIS Aplicar Política de Seguridad Aplicar Política de Seguridad

de Servidor de Ficherosde Servidor de Ficheros

Ejemplo de Combinación de Ejemplo de Combinación de RolesRolesServidor de Ficheros e ImpresorasServidor de Ficheros e Impresoras Servidor de Ficheros: configurar firma digital de Servidor de Ficheros: configurar firma digital de

comunicaciones SMBcomunicaciones SMB Servidor de Impresoras: La firma digital SMB no Servidor de Impresoras: La firma digital SMB no

evita que se imiprima SINO QUE se vea la cola evita que se imiprima SINO QUE se vea la cola de impresiónde impresión

Ejemplo de Servidor AisladoEjemplo de Servidor Aislado

No es parte de un No es parte de un DominioDominio

No se aplican No se aplican Políticas de GrupoPolíticas de Grupo

Políticas localesPolíticas locales Herramienta de Herramienta de

Configuración y Configuración y Análisis de SeguridadAnálisis de Seguridad

SeceditSecedit

Demo 5Demo 5 Combinación de Roles y Combinación de Roles y

Fortificación de un Servidor Fortificación de un Servidor AisladoAislado

Configuración y Análisis de Configuración y Análisis de SeguridadSeguridad Secedit Secedit

ResumenResumen

Necesidad de Seguridad.Necesidad de Seguridad. Definición del Problema.Definición del Problema. Seguridad de Servidores.Seguridad de Servidores. Seguridad del Dominio.Seguridad del Dominio. Fortificación de ServidoresFortificación de Servidores Política para Servidores Independientes.Política para Servidores Independientes. Fortificación de Controladores de Fortificación de Controladores de

Dominio.Dominio. Fortificación de Servidores según su RolFortificación de Servidores según su Rol

Más InformaciónMás Información Información y recursos sobre seguridad Información y recursos sobre seguridad

de Microsoft de Microsoft www.microsoft.com/spain/seguridadwww.microsoft.com/spain/seguridad www.microsoft.com/spain/technet/seguridadwww.microsoft.com/spain/technet/seguridad

Windows 2000 Server Security GuideWindows 2000 Server Security Guide http://www.microsoft.com/technet/treeview/dehttp://www.microsoft.com/technet/treeview/de

fault.asp?url=/technet/security/chklist/w2ksvrfault.asp?url=/technet/security/chklist/w2ksvrcl.aspcl.asp

Guia de Seguridad de Windows Server Guia de Seguridad de Windows Server 20032003 http://www.microsoft.com/spain/technet/seguhttp://www.microsoft.com/spain/technet/segu

ridad/guias/guia_ws2003.aspridad/guias/guia_ws2003.asp