Win7 Itpro Session 1 Windows 7 And The Optimized Desktop V20
{Seguridad} José Parada GimenoChema Alonso ITPro EvangelistMVP Windows Security Microsoft...
-
Upload
adoria-chavana -
Category
Documents
-
view
1 -
download
0
Transcript of {Seguridad} José Parada GimenoChema Alonso ITPro EvangelistMVP Windows Security Microsoft...
{Seguridad}
José Parada Gimeno Chema AlonsoITPro Evangelist MVP Windows SecurityMicrosoft Corporation Informática64
AgendaMejoras en la seguridad del Sistema Operativo
Protección del sistema Offline (Bitlocker)Arranque seguro (Bitlocker)Integridad en el código del SOFortificación de los serviciosControl sobre las Cuentas de Usuario (UAC)Control sobre la instalación de dispositivos removibles
Mejoras de Seguridad en RedTSGateway, NAP, VPN SSLWindows Firewall con Seguridad Avanzada e IPSec
Mejoras en la seguridad del Dominio (DA)Auditoria de los servicios de Directorio ActivoControlador de Dominio de Solo-Lectura (RODC)Enterprise PKI
SQL Server 2008
Bitlocker Drive EncryptionConjunto de funcionalidades que nos proporcionan:
Protección cuando el sistema esta Offline mediante el cifrado completo del contenido de los Discos DurosProtección durante el Arranque del Hardware (Imprescindible TPM)
Si sólo quiero utilizar el Cifrado del Disco duro y no tengo TPM, necesito una BIOS que soporte arranque desde dispositivos USB. **El chip TPM valida la integridad del arranque de la máquina y proporciona la gestión de claves.
Cifrado completo del DiscoBitLocker™ Drive Encryption (BDE)
BDE cifra y firma todo el contenido del Disco Duro
Por lo tantoCualquier modificación de los datos, no autorizada realizada “off-line” es descubierta y el acceso es denegado
Nos previene de ataques que utilizan herramientas que acceden al disco duro cuando Windows no se esta ejecutando.
Protección contra el robo de datos cuando se pierde o te roban el equipoÚtil para el reciclado seguro de equipos
Arquitectura Arranque SeguroStatic Root of Trust Measurement of early boot components
CRTM PCR
PCR
PCR
PCR
PCRPCR = Platform Configuration RegisterCRTM=Core Root of Trust Measurement
¿Cómo funciona?
DATA
1
Volume Meta-Data(Existen tres copias redundantes)
FVEK
2
VMK
3
TPM
4
¿Donde esta la clave de cifrado?1. Los datos de cifran con la FVEK2. La FVEK se cifra con la VMK (Volume Master Key) y se
almacena en los metadatos del volumen.3. La VMK es cifrada por uno o mas protectores de la clave, y
se almacena en los metadatos del volumen.4. El Trusted Platform Module no descifrará la VMK si la
integridad del sistema falla.
(Full-Volume Encryption Key)
¿Cómo funciona?
DATA
1
FVEK
2
VMK
3
TPM
4
TPM+USB
TPM+PIN
Llave USB(Recuperación o no-
TPM
123456-789012-345678-
Recovery Password(48 Digitos)
¿Donde esta la clave de cifrado?1. Los datos de cifran con la FVEK2. La FVEK se cifra con la VMK (Volume Master
Key) y se almacena en los metadatos del volumen.
3. La VMK es cifrada por uno o mas protectores de la clave, y se almacena en los metadatos del volumen.
4. El Trusted Platform Module no descifrará la VMK si la integridad del sistema falla.
SQL Server 2008:Cifrado de Datos Transparente (TDE)
Cifrado/descifrado a nivel de Base de Datos utilizando Database Encryption Key (DEK)DEK es cifrada mediante:
Service Master KeyEKM
DEK debe ser descifrada para poder realizar operaciones como attach de bases de datos o recuperación de backups.
SQL Server 2008
DEK
Client Application
Encrypted data page
Predida o robo
de un equipo que contien
e una base de datos
con información
importante.
Copia de ficheros
de una Base de Datos
con un objetivo
malicioso.
Un usuario equivocado consigue las
cintas de backups
correspondientes a una Base
de Datos.
TDE Escenarios
Sin la clave necesario o HSM para descifrar la DEK, la base de datos no puede ser utilizada.
SQL Server 2008:Gestión de Claves Extensible (EKM) Almacenamiento de
claves de cifrado y gestión realizada por dispositivos externos (Hardware Security Module, o HSM)Cifrado/Descifrado realizado sobre los HSM.Nuevo interfaz SQL External Key Management (SQLEKM) para el controlador (driver).
HSM
SQL EKM Drive
r
Integridad en el Código del SO IProtección a los ficheros del SOValida la integridad del proceso de Arranque
Chequea el Kernel, la HAL y los drivers del inicio.Si la validación falla, la imagen no se carga.
Valida la integridad de la imagen de cada binario
Implementado como un driver de filtro de sistemaChequea el hash de cada página según se cargaChequea cualquier imagen que se carga contra un proceso protegidoLos Hashes se almacena en el catalogo de sistema o en un certificado X.509 embebido en el fichero
Integridad en Código del SO II Firmado de los drivers de TercerosNo confundir la validación de hashes con las
firmasx64
Todo el código del kernel ha de estar firmado o no se cargaraLos drivers de terceros deben de estar certificados por la WHQL- o tener un certificado de una CA de MicrosoftSin ninguna excepción. PuntoBinarios en modo Usuario no necesitan firma salvo que:
Implementen funciones de cifradoSe carguen dentro del servicio de licencias de software
x32
El firmado solo aplica a los drivers incorporados con el WindowsSe puede controlar por políticas que hacer con los de terceros.Codigo Kernel sin firmar se cargaráBinarios en modo usuario – igual que en x64
{ Catalogo del Sistema}{ Firma de Drivers}
demo
Stack
Return Address
Locals
Protección de la Memoria Data Execution ProtectionAddress Space Layout Randomization
DEP
Previous Frames
Parameters
Code
Application Code
Library Code
Windows Code
LoadLibrary()
ASLR
Fortificación de los ServiciosLos Servicios de Windows fueron una gran superficie de ataque debido a sus privilegios y a que estaban siempre activos.Mejoras:
Se ejecutan en laSesión0, mientras que la GUI de usuario y las aplicaciones lo hacen en Sesion1SID (per-service Security Identifier) reconocidos en ACLs (Access Control Lists), para que los servicios puedan proteger sus recursosPolítica de Firewall que prohíben el acceso de red por servicio, sujeto a ACLs y SIDsDescomposición de los privilegios innecesarios por servicioCambio de “LocalSystem” a “LocalService” o “NetworkService” cuando es posibleUso de testigos con restricciones de escritura para los procesos de los servicios
Control sobre las cuentas de Usuario IHace que el sistema funcione bien como un usuario estándarProporciona un método seguro para ejecutar aplicaciones en un contexto elevado
Requiere marcar las aplicaciones que no sean UAPDeja claro las acciones que tienen un impacto en todo el equipo
Virtualización del registro y ficheros para proporcionar compatibilidad.
Escrituras en el registro de la maquina son redirigidas a localizaciones de usuario si el usuario no tiene privilegios administrativosEfectivamente: cuentas estándar pueden ejecutar aplicaciones que necesitan cuentas de administración de manera segura.
{ Control Cuentas de Usuario}
demo
Fortificación de ServidorControl sobre la instalación de Dispositivos
Habilidad para bloquear la instalación de cualquier nuevo dispositivo
Se puede desplegar un servidor y no permitir que se instalen nuevos dispositivos
Establecer excepciones basadas en ID o clase de dispositivo
Permite que se añadan teclados y ratones pero nada masPermite IDs específicos Configurable vía Políticas de GrupoEstablecido a nivel de Equipo.
{ Control Instalación dispositivos USB}
NAP: Acceso basado en políticas
Validación de Políticas: Determina si los equipos cumplen con la política de seguridad de la organización. A los que cumplen se les estima como “Saludables”.
Restricciones de Red: Restringe el acceso a la red a los equipos en función de su salud.
Remediación: Provee las actualizaciones necesarias para permitir que un equipo se vuelva saludable. Una vez que esto ocurre, se le quitan las restricciones de red.
Cumplimiento sobre la marcha: Los cambios en la política de seguridad de la organización o en la salud de los equipos pueden provocar restricciones de red.
Network Access ProtectionFuncionamiento
No Cumple
la Política
1
RedRestringida
El cliente solicita acceso a la red y presenta su estado de salud actual
1
4Si no cumple la política el cliente solo tiene acceso a una VLAN restringida donde hay recursos para solucionar sus problemas, descargar actualizaciones, firmas(Repetir 1-4)
2 DHCP, VPN o Switch/Router envía el estado de salud al Servidor de Políticas de Red (RADIUS)
5 Si cumple la política al cliente se le permite el acceso total a la red corporativa
MSFT NPS
3
Servidor de Políticas
Cumple la
Política
3 El Servidor de Políticas (NPS) valida contra la política de salud definida por IT
2
ClienteWindows
DHCP, VPNSwitch/Router
Fix UpServerse.g. Patch
Red Corporativa5
4
Opciones de ForzadoForzado
Cliente Saludable
Cliente no Saludable
DHCPConfiguración IP completa. Acceso Total
Conjunto de rutas restringido
VPN (Microsoft and 3rd Party) Acceso Total VLAN Restringida
802.1X Acceso Total VLAN Restringida
IPsec
Puede comunicar con cualquier nodo en que confie
Nodos saludables rechazan la conexión de sistemas no Saludables
•Complementa la protección a nivel 2•Funciona con la infraestructura existente•Aislamiento Flexible
{ Configuración NAP}
NameTitleGroup
demo
DesplieguePlanificación de Requerimientos
Definir la política de salud requeridaDefinir los métodos de forzado requeridosPlanificar la arquitectura NAPPlanificar las excepciones
Definir roles y responsabilidadesFases del despliegue
Pruebas en LaboratorioPilotoModo de ReporteForzado diferidoForzado
VPN con SSL – SSTP
SSTP= Secure Socket Tunneling ProtocolUna nuevo tunel VPN que permite pasar trafico por firewalls y proxy que bloquean trafico PPTP y L2TP/IPsec.Un mecanismo para encapsular trafico PPP por el canal SSL del protocolo HTTPS.Al usar trafico HTTPS el trafico va por el puerto 443.Solo soportado por Windows 2008 y Windows Vista Service Pack 1
Consideraciones SSTP
El servidor necesita un certificado.El cliente necesita consultar la CLR para saber si el certificado del servidor esta al día y por tanto la CRL debe de estar publicado y accesible para el cliente.Si se cambia el certificado en el servidor SSTP hay que realizar el cambio mediante el comando netsh.
Intelligent Application Gateway
VPN SSLComprobación
ClientePolítica ApplicaiónUbicación
EDGE
SQL Sever 2008 :Authentication EnhancementsSQL Server 2005
Posibilidad de usar Kerberos solo con conexiones TCP/IPSPN deben registrarse en el AD
SQL Server 2008Posibilidad de usar Kerberos con todos los protocolosSPN puede ser especificado en la cadena de conexión (OLEDB/ODBC)Posibilidad de utilizar Kerberos sin tener el SPN registrado en el AD
RecursosGuía paso a paso W2K8
http://www.microsoft.com/downloads/details.aspx?familyid=518D870C-FA3E-4F6A-97F5-ACAF31DE6DCE&displaylang=en
Librería Técnicahttp://technet2.microsoft.com/windowsserver2008/en/library/61d24255-dad1-4fd2-b4a3-a91a22973def1033.mspx?mfr=true
Foro de Seguridad W2K8http://forums.microsoft.com/TechNet/ShowForum.aspx?ForumID=581&SiteID=17
Recursos TechNet• TechCenter de Windows Server 2008
http://www.microsoft.com/spain/technet/prodtechnol/windowsserver/2008/default.mspx
• Próximos webcasts en vivohttp://www.microsoft.com/spain/technet/jornadas/default.mspx
• Webcasts grabados sobre Windows Server
http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx?id=1
• Webcasts grabados otras tecnologías Microsoft
http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx
• Foros técnicoshttp://forums.microsoft.com/technet-es/default.aspx?siteid=30
Chema AlonosoMicrosoft MVP Windows [email protected] http://elladodelmal.blogspot.com
Informática 64