Características de Seguridad en entornos servidor  Microsoft Windows Server 2003 y Windows 2000 Trabajo Presentado Por: GU...
¿Qué es TechNet?   El recurso que ofrece la información técnica más completa para ayudar a los profesionales IT a evaluar,...
¿Qué ofrece TechNet? <ul><li>Suscripción CD o DVD </li></ul><ul><ul><li>Nuevos Servicios para suscriptores (Chat support &...
Agenda <ul><li>Importancia de la Seguridad </li></ul><ul><li>Mejoras de Seguridad en Windows Server 2003. </li></ul><ul><l...
La Seguridad es una Preocupación de Todos. Proteger las estaciones de trabajo ha sido cada vez más difícil debido a gran n...
Impacto en la Empresa. <ul><li>De acuerdo con el informe denominado “Computer Crime and Security Survey” de 2001, realizad...
Érase Una Vez… (No Hace Tanto Tiempo) Mainframes conectados a “terminales tontos” .  Era relativamente fácil establecer Se...
Se Introdujeron Nuevas Tecnologías… Arquitectura Cliente/Servidor. Se aumenta la Productividad y se está expuesto a nuevos...
Internet y la movilidad aumentan los riesgos de Seguridad… Servidores Clientes Mainframe
Evolución de las Amenazas <ul><li>Ataques desde dentro por usuarios “autorizados”. </li></ul><ul><li>Corrupción de datos, ...
La Seguridad es tan Fuerte como el Eslabón más Débil. <ul><li>La Tecnología no es ni el problema completo, ni la solución ...
Estándares, Encriptación, Protección Características de Seguridad en los Productos Herramientas y Productos de Seguridad P...
Marco de la Seguridad: SD 3 +C  <ul><li>Secure by Deployment </li></ul><ul><ul><li>Nuevas herramientas de gestión de parch...
Agenda <ul><li>La importancia de la Seguridad </li></ul><ul><li>Mejoras de Seguridad en Windows Server 2003. </li></ul>
Seguridad en Directorio Activo  <ul><li>Relaciones de Confianza entre Bosques </li></ul><ul><ul><li>Permite a los Administ...
Demo Relaciones de Confianza entre Bosques
Mejoras en PKI <ul><li>Soporte de Certificaciones Cruzadas.  </li></ul><ul><li>Plantillas de Certificados Personalizables ...
Mejoras en IIS <ul><li>Revisiones de código por parte de expertos en seguridad independientes </li></ul><ul><li>No se inst...
Permisos <ul><li>Permisos NFTS por defecto bloqueados: </li></ul><ul><ul><li>Antes:  Everyone   Full Control </li></ul></u...
Demo Interfaz de Usuario para los Permisos
Qué tiene en común todos estos Servicios? <ul><li>Alerter </li></ul><ul><li>Clipbook </li></ul><ul><li>Distributed Link Tr...
Cuentas de Servicio del Sistema <ul><li>Local Service y Network Service </li></ul><ul><ul><li>No hay que gestionar passwor...
Internet Connection Firewall <ul><li>Apareció incialmente en Windows XP </li></ul><ul><li>Se habilita en cada interfaz </l...
Nuevas Caracterísitcas de IPSec <ul><li>Gestión </li></ul><ul><li>IP Security Monitor  </li></ul><ul><li>Gestión en línea ...
Reglas de Excepción por defecto en IPSec <ul><li>Se almacenan en el Registro: </li></ul><ul><li>HKLMSYSTEMCurrentControlSe...
<ul><li>Seguridad de Inicio de IPSec </li></ul>Demo
Network Access Quarantine para RRAS
Qué es Network Access Quarantine? El cliente Remoto se Autentica El Cliente RAS cumple la política de Cuarentena El client...
Qué son las reglas de política? <ul><li>Las reglas de política de Cuarentena   son configurables, las reglas comunes puede...
Arquitectura de Cuarentena Internet Cliente RAS Servidor RRAS ServidorIAS RQC.exe y RQS.exe están en el Kit de Recursos de...
Proceso Detallado Internet Cliente RAS Servidor RRAS Servidor IAS Connect Authenticate Authorize Quarantine VSA + Normal F...
Políticas de  Restricción de Software.
Qué hace SRP <ul><li>SRP puede: </li></ul><ul><ul><li>Controlar qué programas se pueden ejecutar en una máquina </li></ul>...
Políticas de Restricción de Software <ul><li>Dos modos: Disallowed, Unrestricted </li></ul><ul><li>Control de código ejecu...
Contra qué no nos protege  SRP <ul><li>Drivers u otro software en modo kernel </li></ul><ul><ul><li>No puede protegernos d...
Tipos de reglas SRP <ul><li>Regla de Path </li></ul><ul><ul><li>Compara el path de un fichero contra una lista de paths pe...
Precedencia de las Reglas <ul><li>Qué ocurre cuando un programa cumple varias reglas?  </li></ul><ul><ul><li>Intentando ej...
Mejoras Generales
Mejoras Generales <ul><li>Cambio en la prioridad de búsqueda de DLL desde el directorio de trabajo a windowssystem32 </li>...
Mejoras Generales <ul><li>Soporte PEAP </li></ul><ul><li>Delegación restringida </li></ul><ul><li>Auditoría de seguridad d...
Las Personas son los Activos de más valor. <ul><li>Plantilla de Seguridad dedicada </li></ul><ul><ul><li>Grupo de Segurida...
Quarantine Whitepaper: Network Access Quarantine Whitepaper: http://www.microsoft.com/windowsserver2003/techinfo/overview/...
Windows Server 2003 Security Configuration Guide <ul><li>Windows Server 2003 Security Guide </li></ul><ul><li>http://go.mi...
Implementación de Seguridad en el Servidor Windows 2000 y Windows Server 2003
Agenda <ul><li>Necesidad de Seguridad. </li></ul><ul><li>Definición del Problema. </li></ul><ul><li>Seguridad de Servidore...
Conocimientos Necesarios <ul><li>Experiencia en conocimiento relacionado con Seguridad de Windows 2000 ó 2003. </li></ul><...
Agenda <ul><li>Necesidad de Seguridad. </li></ul><ul><li>Definición del Problema. </li></ul><ul><li>Seguridad de Servidore...
Necesidad de Seguridad <ul><li>Proteger Información </li></ul><ul><li>Proteger los canales de información </li></ul><ul><l...
Definición del Problema Pequeña y Mediana Empresa  <ul><li>Los Servidores cumplen multitud de Roles. </li></ul><ul><ul><li...
Definición del Problema Pequeña y Mediana Empresa <ul><li>Amenaza Accidental </li></ul><ul><li>Amenaza Interna </li></ul><...
Definición del Problema Pequeña y Mediana Empresa <ul><li>Acceso a Internet </li></ul><ul><ul><li>Recursos Limitados para ...
Definición del Problema Pequeña y Mediana Empresa <ul><li>Departamentos IT pequeños. </li></ul><ul><ul><li>No existe exper...
Definición del Problema Pequeña y Mediana Empresa <ul><li>Utilización de Sistemas antiguos </li></ul><ul><ul><li>NO son po...
Seguridad de Servidores Seguridad Física <ul><li>El acceso físico a los Servidores anula algunos procedimientos de Segurid...
Seguridad de Servidores Acceso Autorizado Seguro <ul><li>Componentes de un Acceso Autorizado Seguro </li></ul><ul><ul><li>...
Seguridad del Dominio Fronteras del Dominio <ul><li>Fronteras de Seguridad </li></ul><ul><ul><li>Bosque </li></ul></ul><ul...
Seguridad del Dominio Configuración de Seguridad <ul><li>Unidades Organizativas </li></ul><ul><li>Grupos Administrativos <...
Seguridad del Dominio Política del Dominio Account Policies User Rights Assignment Security Options <ul><li>Políticas de C...
Demo 1   Política del Dominio   Demonstrar Estructuras de OU Demostrar Grupos Administrativos Crear y Mostrar los Fiechero...
Fortificación de Servidores <ul><li>Securidad vs Functionalidad </li></ul><ul><li>Configuraciones de Seguridad </li></ul><...
Fortificación de Servidores <ul><li>Microsoft Baseline Security Analyzer </li></ul><ul><li>Análisis y Configuración de Seg...
Política para Servidores Independientes Parámetros de las Políticas <ul><li>Aplicar Políticas a la OU de Servidores Indepe...
Política para Servidores Independientes Línea Base de Seguridad <ul><li>Configuración Manual </li></ul><ul><ul><li>Renombr...
Demo 2   Aplicar la Política de Servidores Independientes   Aplicar Política GPUpdate GPResult
Fortificación de Controladores de Dominio  Parámetros de las Políticas <ul><li>A los Domain Controllers no les afecta la p...
Fortificación de Controladores de Domino  Parámetros Adicionales <ul><li>Adicionalmente </li></ul><ul><ul><li>Cuentas espe...
Demo 3   Fortificación de Controladores de Dominio   Aplicar la Política de Domain Controller Ver SysKey
Fortificación de Servidores Según su Rol Servidores de Infraestructura <ul><li>Heredan la configuración de la Política de ...
Fortificación de Servidores Según su Rol Servidores de Ficheros <ul><li>Hereda la configuración de la política de Servidor...
Fortificación de Servidores Según su Rol Servidores de Impresoras <ul><li>Hereda la configuración de la política de Servid...
Fortificación de Servidores Según su Rol Internet Information Services (IIS) <ul><li>Hereda los valores de la Política de ...
Demo 4   Fortificación de Servidores Según su Rol   Demonstrar Seguridad en IIS   Aplicar Política de Seguridad de Servido...
Ejemplo de Combinación de Roles Servidor de Ficheros e Impresoras <ul><li>Servidor de Ficheros: configurar firma digital d...
Ejemplo de Servidor Aislado <ul><li>No es parte de un Dominio </li></ul><ul><li>No se aplican Políticas de Grupo </li></ul...
Demo 5   Combinación de Roles y Fortificación de un Servidor  Aislado   Configuración y Análisis de Seguridad  Secedit
Resumen <ul><li>Necesidad de Seguridad. </li></ul><ul><li>Definición del Problema. </li></ul><ul><li>Seguridad de Servidor...
Más Información <ul><li>Información y recursos sobre seguridad de Microsoft  </li></ul><ul><ul><li>www.microsoft.com/spain...
 
Upcoming SlideShare
Loading in …5
×

Microsoft Windows Server 2003 Y Windows 2000 I

4,726 views
4,588 views

Published on

IPSec y Certificados Digitales en Windows 2003 Server (Definición y caracteristicas)1

Published in: Technology, Business
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
4,726
On SlideShare
0
From Embeds
0
Number of Embeds
47
Actions
Shares
0
Downloads
271
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide
  • Nota del Instructor: Bienvenidos a esta sesión de TechNet en la que vamos a hablar de Seguridad en los Productos de Microsoft. Dividiremos esta sesión en dos partes. En la primera, hablaremos de las características de Seguridad existente en la últimas versiones de las plataformas Cliente y Servidor: Windows 2003 y Windows XP. En la Segunda, de la Implementación de Seguridad en el Servidor Windows 2000 y Windows Server 2003. Transición de Diapositiva: En esta primera parte hablaremos de….
  • Microsoft Windows Server 2003 Y Windows 2000 I

    1. 1. Características de Seguridad en entornos servidor Microsoft Windows Server 2003 y Windows 2000 Trabajo Presentado Por: GUSTAVO JUNIOR CHECALLA CHOQUE
    2. 2. ¿Qué es TechNet? El recurso que ofrece la información técnica más completa para ayudar a los profesionales IT a evaluar, implantar, optimizar y dar soporte fácilmente a los productos Microsoft http://www.microsoft.com/spain/technet
    3. 3. ¿Qué ofrece TechNet? <ul><li>Suscripción CD o DVD </li></ul><ul><ul><li>Nuevos Servicios para suscriptores (Chat support & Managed newsgroups support) </li></ul></ul><ul><li>Recursos online </li></ul><ul><ul><li>Información y documentación técnica sobre los productos de Microsoft </li></ul></ul><ul><ul><li>Descargas de software </li></ul></ul><ul><ul><li>Area de seguridad </li></ul></ul><ul><ul><li>Participación en foros técnicos </li></ul></ul><ul><ul><li>Videos Técnicos Online </li></ul></ul><ul><ul><li>Chats y Webcast técnicos </li></ul></ul><ul><ul><li>Newsgroups con técnicos de Microsoft </li></ul></ul><ul><ul><li>Cases Studies: ejemplos empresariales reales </li></ul></ul><ul><li>Boletín informativo TechNet Flash </li></ul><ul><li>Seminarios y jornadas técnicas Microsoft TechNet </li></ul>
    4. 4. Agenda <ul><li>Importancia de la Seguridad </li></ul><ul><li>Mejoras de Seguridad en Windows Server 2003. </li></ul><ul><li>Implementación de seguridad en Windows Server 2003 y Windows 2000 </li></ul>
    5. 5. La Seguridad es una Preocupación de Todos. Proteger las estaciones de trabajo ha sido cada vez más difícil debido a gran número de razones y dificultades. Los Sistemas de las Empresas están Globalmente Conectados y son cada vez más Complejos. <ul><ul><li>Los Ataques son cada vez más </li></ul></ul><ul><ul><li>Sofisticados y Destructivos </li></ul></ul><ul><ul><li>Es difícil mantenerse al día con las </li></ul></ul><ul><ul><li>Actualizaciones de Seguridad </li></ul></ul>
    6. 6. Impacto en la Empresa. <ul><li>De acuerdo con el informe denominado “Computer Crime and Security Survey” de 2001, realizado por el CSI (Computer Crime Institute) y el FBI: </li></ul><ul><ul><li>Pérdidas financieras Cuantificadas de al menos $377M, ó $2M por cada uno de los encuestados. </li></ul></ul><ul><ul><li>El 40% detectó penetración en los sistemas desde el exterior; siendo un 25% en 2000 </li></ul></ul><ul><ul><li>El 94% detectó virus informáticos; siendo un 85% in 2000 </li></ul></ul>Fuente: Computer Security Institute (CSI) Computer Crime and Security Survey 2001 Fuente: InformationWeek.com, 10/15/01 Los Fallos de Seguridad Tienen Costes Reales
    7. 7. Érase Una Vez… (No Hace Tanto Tiempo) Mainframes conectados a “terminales tontos” . Era relativamente fácil establecer Seguridad. Mainframe
    8. 8. Se Introdujeron Nuevas Tecnologías… Arquitectura Cliente/Servidor. Se aumenta la Productividad y se está expuesto a nuevos niveles de riesgo. Servers Mainframe
    9. 9. Internet y la movilidad aumentan los riesgos de Seguridad… Servidores Clientes Mainframe
    10. 10. Evolución de las Amenazas <ul><li>Ataques desde dentro por usuarios “autorizados”. </li></ul><ul><li>Corrupción de datos, pérdida de datos. </li></ul><ul><li>Penetración de Hackers (generalmente inocuo) </li></ul><ul><li>Amenazas anteriores, MÁS : </li></ul><ul><li>Penetraciones maliciosas destructivas. </li></ul><ul><li>Ataques de virus destructivos. </li></ul><ul><li>Amenazas anteriores, MÁS : </li></ul><ul><li>Caídas y Bloqueos de Sistemas. </li></ul><ul><li>Manipulación y Robo de los Datos. </li></ul><ul><li>Herramientas de Seguridad en el Kit de Recursos </li></ul><ul><li>AutoSave </li></ul><ul><li>Macro Security – preguntar antes de abrir </li></ul><ul><li>Protección de clave en el SalvaPantallas. </li></ul><ul><li>Soporte multi-usuario Limitado </li></ul><ul><li>Herramientas y Características existentes, MÁS : </li></ul><ul><li>Seguridad de Macros Multi-Nivel y firma de código. </li></ul><ul><li>Seguridad de Adjuntos Multi-Nivel en Outlook. </li></ul><ul><li>Encriptación de Documentos; Claves en los Documentos. </li></ul><ul><li>Internet Connection Firewall con ISA Server </li></ul><ul><li>Sistema de Ficheros Encriptados, PKI </li></ul><ul><li>Seguridad a Nivel de Usuario, Group Policy Objects, Auditorías. </li></ul><ul><li>Soporte para Smart Cards, Soporte Multi-usuario completo. </li></ul>2000 2002 1997 <ul><li>Herramientas y Características existentes, MÁS : </li></ul><ul><li>Seguridad en Outlook Multi-Nivel. </li></ul><ul><li>Encriptación Advanzada. </li></ul><ul><li>Herramientas de Gestión de la Seguridad Centralizadas. </li></ul><ul><li>AutoRecovery </li></ul><ul><li>Conectividad Wireless Integrada. </li></ul><ul><li>Internet Connection Firewall integrado. </li></ul>Evolución de la Tecnología Windows XP y Windows 2003
    11. 11. La Seguridad es tan Fuerte como el Eslabón más Débil. <ul><li>La Tecnología no es ni el problema completo, ni la solución completa. </li></ul><ul><li>Los Sistemas de Seguridad dependen de: Tecnología, Procesos y Personas. </li></ul>
    12. 12. Estándares, Encriptación, Protección Características de Seguridad en los Productos Herramientas y Productos de Seguridad Planificación de la Seguridad Prevención Detección Reacción Tecnología, Procesos, Personas Personal dedicado Formación Seguridad – mentalización y prioridad
    13. 13. Marco de la Seguridad: SD 3 +C <ul><li>Secure by Deployment </li></ul><ul><ul><li>Nuevas herramientas de gestión de parches. </li></ul></ul><ul><ul><li>7 Cursos disponibles en Microsoft Official Curriculum </li></ul></ul><ul><ul><li>Guías de Configuración de Seguridad Oficiales. </li></ul></ul><ul><ul><li>Herramientas de Seguridad integradas. </li></ul></ul><ul><li>Secure by Design </li></ul><ul><ul><li>Construir una arquitectura Segura </li></ul></ul><ul><ul><li>Añadir características de Seguriad </li></ul></ul><ul><ul><li>Revisión de código y tests de penetración. </li></ul></ul><ul><li>Secure by Default </li></ul><ul><ul><li>60% menos en la superficie de ataque por defecto respecto a Windows NT 4.0 SP3 </li></ul></ul><ul><ul><li>20+ servicios que no están por defecto. </li></ul></ul><ul><ul><li>Instalación de Servicios en modo seguro (IIS 6.0 Lockdown) </li></ul></ul><ul><li>Communications </li></ul><ul><ul><li>Writing Secure Code 2.0 </li></ul></ul><ul><ul><li>Webcasts de Architectura </li></ul></ul><ul><ul><li>Conferencias como el IT Fourm </li></ul></ul>
    14. 14. Agenda <ul><li>La importancia de la Seguridad </li></ul><ul><li>Mejoras de Seguridad en Windows Server 2003. </li></ul>
    15. 15. Seguridad en Directorio Activo <ul><li>Relaciones de Confianza entre Bosques </li></ul><ul><ul><li>Permite a los Administradores crear relaciones de confianza externas “forest-to-forest” </li></ul></ul><ul><li>Autenticación entre Bosques </li></ul><ul><ul><li>Permite acceso seguro a los recursos cuando la cuenta del usuario está en un Bosque y la cuenta de máquina pertenece a otro Bosque. </li></ul></ul><ul><li>Autorización entre Bosques </li></ul><ul><ul><li>Permite a los Administradores seleccionar usuarios y grupos de Bosques de confianza para incluirlos en grupos locales o ACLs. </li></ul></ul><ul><li>IAS y Autenticación entre Bosques </li></ul><ul><ul><li>Si los Bosques del Dir. Activo están em modo “cross-forest” con relaciones de confianza bidireccionales, entonces IAS/RADIUS pueden autenticar la cuenta de usuario del otro Bosque. </li></ul></ul>
    16. 16. Demo Relaciones de Confianza entre Bosques
    17. 17. Mejoras en PKI <ul><li>Soporte de Certificaciones Cruzadas. </li></ul><ul><li>Plantillas de Certificados Personalizables (Versión 2) </li></ul><ul><li>Delta CRLs </li></ul><ul><li>Key Archival/Recovery </li></ul><ul><li>Auto-enrollment </li></ul><ul><li>Auditoría de las acciones del Administrador. </li></ul><ul><li>Ref.: Windows Server 2003 PKI Operations Guide </li></ul><ul><li>http://www.microsoft.com/technet/prodtechnol/windowsserver2003/maintain/operate/ws03pkog.asp </li></ul>
    18. 18. Mejoras en IIS <ul><li>Revisiones de código por parte de expertos en seguridad independientes </li></ul><ul><li>No se instala por defecto </li></ul><ul><li>Servidor en estado “bloqueado por defecto” </li></ul><ul><li>Extensiones del servidor Web bloqueadas por defecto. </li></ul><ul><li>Identidad de procesos de usuario configurables. </li></ul><ul><li>Cuenta de servicios con pocos priviliegios </li></ul>
    19. 19. Permisos <ul><li>Permisos NFTS por defecto bloqueados: </li></ul><ul><ul><li>Antes: Everyone Full Control </li></ul></ul><ul><ul><li>Ahora: </li></ul></ul><ul><ul><ul><li>Everyone , Read y Execute (Sólo en Root) </li></ul></ul></ul><ul><ul><ul><li>Usuarios , Read and Execute , Create Folder , Create File </li></ul></ul></ul><ul><ul><ul><li>SYSTEM , Creator , Administrators Full Control </li></ul></ul></ul><ul><li>Permisos por defecto en Shares: </li></ul><ul><ul><li>Antes: Everyone Full Control </li></ul></ul><ul><ul><li>Ahora: Everyone Read </li></ul></ul><ul><li>Nuevas Características: </li></ul><ul><ul><li>Herramienta de Permisos Efectivos </li></ul></ul><ul><ul><li>Cambiar el Owner mediante GUI </li></ul></ul>
    20. 20. Demo Interfaz de Usuario para los Permisos
    21. 21. Qué tiene en común todos estos Servicios? <ul><li>Alerter </li></ul><ul><li>Clipbook </li></ul><ul><li>Distributed Link Tracking (Server) </li></ul><ul><li>Imapi CDROM Burning Service </li></ul><ul><li>Human Interface Devices </li></ul><ul><li>ICS/ICF </li></ul><ul><li>Intersite Messaging </li></ul><ul><li>KDC </li></ul><ul><li>License Logging Manager </li></ul><ul><li>Terminal Server Discovery Service </li></ul><ul><li>Windows Image Acquisition </li></ul><ul><li>Messenger </li></ul><ul><li>NetMeeting </li></ul><ul><li>NetDDE </li></ul><ul><li>NetDDE DSDM </li></ul><ul><li>RRAS </li></ul><ul><li>Telnet </li></ul><ul><li>Themes </li></ul><ul><li>WebClient </li></ul><ul><li>Windows Audio </li></ul>Inicio = Deshabilitado
    22. 22. Cuentas de Servicio del Sistema <ul><li>Local Service y Network Service </li></ul><ul><ul><li>No hay que gestionar passwords </li></ul></ul><ul><ul><li>Se ejecuta con ligeramente más permisos que Authenticated User </li></ul></ul><ul><ul><li>Local Service no se puede autenticar a través de la red, Network Service se autentica como la cuenta de máquina. </li></ul></ul><ul><li>Local System </li></ul><ul><ul><li>No hay que gestionar passwords </li></ul></ul><ul><ul><li>Se salta los chequeos de seguridad </li></ul></ul><ul><li>Cuentas de Usuario </li></ul><ul><ul><li>Se ejecuta con menos privilegios que Local System </li></ul></ul><ul><ul><li>Almacena el password como un LSA secret </li></ul></ul><ul><ul><li>Pueden ser complejas en la configuración </li></ul></ul>
    23. 23. Internet Connection Firewall <ul><li>Apareció incialmente en Windows XP </li></ul><ul><li>Se habilita en cada interfaz </li></ul><ul><li>Soporta LAN, Wireless, RAS </li></ul><ul><li>Elimina por defecto todo el tráfico IP de entrada </li></ul><ul><li>Bloquea por defecto el tráfico ICMP </li></ul><ul><li>Se pueden crear reglas para permitir el acceso a servicios </li></ul><ul><li>Puede registrar peticiones aceptadas y rechazadas. </li></ul>
    24. 24. Nuevas Caracterísitcas de IPSec <ul><li>Gestión </li></ul><ul><li>IP Security Monitor </li></ul><ul><li>Gestión en línea de comando con Netsh </li></ul><ul><li>Direcciones lógicas para configuración IP local </li></ul><ul><li>Seguridad </li></ul><ul><li>Criptografía más Robusta (Diffie-Hellman) </li></ul><ul><li>Seguridad en el Inicio del Sistema </li></ul><ul><li>Política persistente. </li></ul><ul><li>Interoperabilidad </li></ul><ul><li>Funcionalidad de IPSec con (NAT) </li></ul><ul><li>Integración mejorada de IPSec con NLB </li></ul>
    25. 25. Reglas de Excepción por defecto en IPSec <ul><li>Se almacenan en el Registro: </li></ul><ul><li>HKLMSYSTEMCurrentControlSetServicesIPSECNoDefaultExempt </li></ul>X X <ul><li>IKE </li></ul><ul><li>Multicast </li></ul><ul><li>Broadcast </li></ul><ul><li>RSVP </li></ul><ul><li>IKE </li></ul><ul><li>Kerberos </li></ul><ul><li>Multicast </li></ul><ul><li>Broadcast </li></ul><ul><li>IKE </li></ul><ul><li>RSVP </li></ul><ul><li>IKE </li></ul><ul><li>Kerberos </li></ul><ul><li>IKE </li></ul><ul><li>Multicast </li></ul><ul><li>Broadcast </li></ul><ul><li>RSVP </li></ul><ul><li>IKE </li></ul><ul><li>Kerberos </li></ul><ul><li>Multicast </li></ul><ul><li>Broadcast </li></ul>3 2 1 0 Valores de NoDefaultExempt
    26. 26. <ul><li>Seguridad de Inicio de IPSec </li></ul>Demo
    27. 27. Network Access Quarantine para RRAS
    28. 28. Qué es Network Access Quarantine? El cliente Remoto se Autentica El Cliente RAS cumple la política de Cuarentena El cliente RAS consigue acceso total a la red Cliente RAS desconectado <ul><li>El cliente RAS no cumple la política de Cuarentena </li></ul><ul><li>Se alcanza el timeout de Cuarentena </li></ul>Cliente RAS puesto en Cuarentena
    29. 29. Qué son las reglas de política? <ul><li>Las reglas de política de Cuarentena son configurables, las reglas comunes pueden incluir : </li></ul><ul><li>Service packs ó los últimos hotfixes instalados </li></ul><ul><li>Software Antivirus instalado </li></ul><ul><li>Ficheros de firmas de detección de Virus actualizados. </li></ul><ul><li>Routing deshabilitado en el cliente RAS </li></ul><ul><li>Internet Connection Firewall habilitado </li></ul><ul><li>Salvapantallas con protección de password habilitado. </li></ul>
    30. 30. Arquitectura de Cuarentena Internet Cliente RAS Servidor RRAS ServidorIAS RQC.exe y RQS.exe están en el Kit de Recursos de Windows Server 2003 <ul><li>Perfil CM </li></ul><ul><li>Ejecuta script personalizable post-conexión </li></ul><ul><li>El Script ejecuta notificador RQC con “cadena de resultados” </li></ul><ul><li>Listener </li></ul><ul><li>RQS recibe del notificador “cadena de resultados” </li></ul><ul><li>Compara cadena con </li></ul><ul><li>posibles resultados </li></ul><ul><li>Elimina time-out si se </li></ul><ul><li>recibe respuesta pero el cliente no está </li></ul><ul><li>actualizado </li></ul><ul><li>Quita la cuarentena si el </li></ul><ul><li>cliente está actualizado. </li></ul><ul><li>VSAs de Cuarentena </li></ul><ul><li>MS-Quarantine-Session-Timeout </li></ul><ul><li>MS-Quarantine-IPFilter </li></ul>Cuarentena
    31. 31. Proceso Detallado Internet Cliente RAS Servidor RRAS Servidor IAS Connect Authenticate Authorize Quarantine VSA + Normal Filters Policy Check Result Remove Quarantine Quarantine Access Full Access Quarantine
    32. 32. Políticas de Restricción de Software.
    33. 33. Qué hace SRP <ul><li>SRP puede: </li></ul><ul><ul><li>Controlar qué programas se pueden ejecutar en una máquina </li></ul></ul><ul><ul><li>Permitir a los usuarios ejecutar exclusivamente ficheros específicos en máquinas con múltiples usuarios. </li></ul></ul><ul><ul><li>Controlar si las políticas de restricción de software afectan a todos ó a usuarios específicos. </li></ul></ul><ul><ul><li>Evitar que programas específicos se ejecuten en: </li></ul></ul><ul><ul><ul><li>Máquina Local </li></ul></ul></ul><ul><ul><ul><li>Cualquier máquina en una OU, Site, ó Dominio </li></ul></ul></ul>
    34. 34. Políticas de Restricción de Software <ul><li>Dos modos: Disallowed, Unrestricted </li></ul><ul><li>Control de código ejecutable: </li></ul><ul><li>.ADE </li></ul><ul><li>.ADP </li></ul><ul><li>.BAS </li></ul><ul><li>.BAT </li></ul><ul><li>.CHM </li></ul><ul><li>.CMD </li></ul><ul><li>.CPL </li></ul><ul><li>.CRT </li></ul><ul><li>.EXE </li></ul><ul><li>.HLP </li></ul><ul><li>.HTA </li></ul><ul><li>.INF </li></ul><ul><li>.INS </li></ul><ul><li>.ISP </li></ul><ul><li>.JS </li></ul><ul><li>.JSE </li></ul><ul><li>.LNK </li></ul><ul><li>.MDB </li></ul><ul><li>.MDE </li></ul><ul><li>.MSC </li></ul><ul><li>.MSI </li></ul><ul><li>.MSP </li></ul><ul><li>.MST </li></ul><ul><li>.PCD </li></ul><ul><li>.PIF </li></ul><ul><li>.REG </li></ul><ul><li>.SCR </li></ul><ul><li>.SCT </li></ul><ul><li>.SHS </li></ul><ul><li>.URL </li></ul><ul><li>.VB </li></ul><ul><li>.VBE </li></ul><ul><li>.VBS </li></ul><ul><li>.WSC </li></ul><ul><li>.WSF </li></ul><ul><li>.WSH </li></ul>
    35. 35. Contra qué no nos protege SRP <ul><li>Drivers u otro software en modo kernel </li></ul><ul><ul><li>No puede protegernos de SYSTEM </li></ul></ul><ul><li>Cualquier programa con cuenta SYSTEM. </li></ul><ul><ul><li>No puede protegernos de SYSTEM </li></ul></ul><ul><li>Macros dentro de documentos Microsoft Office 2000 ó Office XP. </li></ul><ul><ul><li>Utilizar opciones de seguridad de Macros </li></ul></ul><ul><li>Programas escritos para “common language runtime”. </li></ul><ul><ul><li>Estos programas utilizan “Code Access Security” </li></ul></ul>
    36. 36. Tipos de reglas SRP <ul><li>Regla de Path </li></ul><ul><ul><li>Compara el path de un fichero contra una lista de paths permitidos </li></ul></ul><ul><ul><li>Utilizar cuando se tiene una carpeta con múltiples ficheros de una aplicación. </li></ul></ul><ul><li>Regla Hash </li></ul><ul><ul><li>Compara el hash MD5 ó SHA1 de un fichero respecto del que se intenta ejecutar </li></ul></ul><ul><ul><li>Utilizarlo cuando se quiere permitir/prohibir la ejecución de cierta versión de un fichero. </li></ul></ul><ul><li>Regla de Certificado </li></ul><ul><ul><li>Chequea la firma digital de las aplicaciones (i.e.Authenticode) </li></ul></ul><ul><ul><li>Utilizar cuando se quiera restringir tanto aplicaciones win32 como contenido ActiveX </li></ul></ul><ul><li>Regla de Zona Internet </li></ul><ul><ul><li>Controla cómo se puede acceder a Zonas de Internet </li></ul></ul><ul><ul><li>Utilizar en entornos de alta seguridad para controlar el acceso a aplicaciones web </li></ul></ul>
    37. 37. Precedencia de las Reglas <ul><li>Qué ocurre cuando un programa cumple varias reglas? </li></ul><ul><ul><li>Intentando ejecutar la calculadora </li></ul></ul><ul><li>Tiene precedencia la regla más específica: </li></ul><ul><ul><li>Hash rule </li></ul></ul><ul><ul><li>Certificate rule </li></ul></ul><ul><ul><li>Path rule </li></ul></ul><ul><ul><li>Zone rule </li></ul></ul>Disallowed c:winntsystem32calc.exe Unrestricted c:winnt Disallowed A6A44A0E8A76C7B2174DE68C5B0F724D:114688:32771
    38. 38. Mejoras Generales
    39. 39. Mejoras Generales <ul><li>Cambio en la prioridad de búsqueda de DLL desde el directorio de trabajo a windowssystem32 </li></ul><ul><li>Encriptación por defecto AES-256-bit en EFS </li></ul><ul><li>El grupo Everyone ya no incluye usuarios anónimos (Users y Guests) </li></ul><ul><li>Encriptación WebDAV </li></ul><ul><li>Carpetas offline encriptadas </li></ul>
    40. 40. Mejoras Generales <ul><li>Soporte PEAP </li></ul><ul><li>Delegación restringida </li></ul><ul><li>Auditoría de seguridad detallada. </li></ul><ul><li>Auditoría de inicio de sesión de cuentas habilitado por defecto. </li></ul><ul><li>Integración DPAPI </li></ul><ul><li>Fichero de Ayuda ampliado en temas de Seguridad </li></ul>
    41. 41. Las Personas son los Activos de más valor. <ul><li>Plantilla de Seguridad dedicada </li></ul><ul><ul><li>Grupo de Seguridad especializado </li></ul></ul><ul><ul><li>Experiencia específica en seguridad </li></ul></ul><ul><li>Formación </li></ul><ul><ul><li>Formación en estándares, tecnologías, y procesos </li></ul></ul><ul><li>Contribución de todas las partes de la Organización. </li></ul><ul><ul><li>Conocimiento y cumplimiento de las directrices de la empresa para la seguridad física, políticas de passwords, procedimientos de acceso a datos. </li></ul></ul>
    42. 42. Quarantine Whitepaper: Network Access Quarantine Whitepaper: http://www.microsoft.com/windowsserver2003/techinfo/overview/quarantine.mspx Software Restriction Policy http://www.microsoft.com/windows2000/technologies/security/redir-wnetsafer.asp Windows Server 2003 Resource Kit Tools Download: http://go.microsoft.com/fwlink/?LinkId=4544 Apéndice
    43. 43. Windows Server 2003 Security Configuration Guide <ul><li>Windows Server 2003 Security Guide </li></ul><ul><li>http://go.microsoft.com/fwlink/?LinkId=14846 </li></ul><ul><li>Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP </li></ul><ul><li>http://go.microsoft.com/fwlink/?LinkId=15160 </li></ul>
    44. 44. Implementación de Seguridad en el Servidor Windows 2000 y Windows Server 2003
    45. 45. Agenda <ul><li>Necesidad de Seguridad. </li></ul><ul><li>Definición del Problema. </li></ul><ul><li>Seguridad de Servidores. </li></ul><ul><li>Seguridad del Dominio. </li></ul><ul><li>Fortificación de Servidores </li></ul><ul><li>Política para Servidores Independientes. </li></ul><ul><li>Fortificación de Controladores de Dominio. </li></ul><ul><li>Fortificación de Servidores según su Rol </li></ul>
    46. 46. Conocimientos Necesarios <ul><li>Experiencia en conocimiento relacionado con Seguridad de Windows 2000 ó 2003. </li></ul><ul><li>Familiaridad con herramientas de Gestión de Windows. </li></ul><ul><li>Familiaridad con Políticas de Grupo. </li></ul>Level 200
    47. 47. Agenda <ul><li>Necesidad de Seguridad. </li></ul><ul><li>Definición del Problema. </li></ul><ul><li>Seguridad de Servidores. </li></ul><ul><li>Seguridad del Dominio. </li></ul><ul><li>Fortificación de Servidores </li></ul><ul><li>Política para Servidores Independientes. </li></ul><ul><li>Fortificación de Controladores de Dominio. </li></ul><ul><li>Fortificación de Servidores según su Rol </li></ul>
    48. 48. Necesidad de Seguridad <ul><li>Proteger Información </li></ul><ul><li>Proteger los canales de información </li></ul><ul><li>Minimizar paradas del servicio </li></ul><ul><li>Proteger los beneficios. </li></ul><ul><li>Evitar daño a la imagen </li></ul><ul><li>Proteger los procesos de los trabajadores </li></ul>
    49. 49. Definición del Problema Pequeña y Mediana Empresa <ul><li>Los Servidores cumplen multitud de Roles. </li></ul><ul><ul><li>Servidores Limitados </li></ul></ul><ul><ul><li>Recursos Disponibles Limitados </li></ul></ul><ul><ul><li>Características de Disponibilidad de Servicio Limitada. </li></ul></ul>Domain Controller SQL Server IIS Server File Server Print Server
    50. 50. Definición del Problema Pequeña y Mediana Empresa <ul><li>Amenaza Accidental </li></ul><ul><li>Amenaza Interna </li></ul><ul><li>Servidor Comprometido ó Fallido </li></ul><ul><ul><li>Afecta a múltiples Servicios </li></ul></ul>Discover Request Acknowledge Offer
    51. 51. Definición del Problema Pequeña y Mediana Empresa <ul><li>Acceso a Internet </li></ul><ul><ul><li>Recursos Limitados para implementar Seguridad completa. </li></ul></ul><ul><ul><li>Posibilidad de acceso malicioso a la red. </li></ul></ul>
    52. 52. Definición del Problema Pequeña y Mediana Empresa <ul><li>Departamentos IT pequeños. </li></ul><ul><ul><li>No existe experiencia específica en Seguridad. </li></ul></ul>Administrador del Dominio con algo de conocimiento en Seguridad. Soporte a Usuarios Poco conocimiento en Seguridad Soporte de Aplicaciones Algún Conocimiento de Seguridad de Aplicaciones.
    53. 53. Definición del Problema Pequeña y Mediana Empresa <ul><li>Utilización de Sistemas antiguos </li></ul><ul><ul><li>NO son posibles algunas configuraciones de Seguridad </li></ul></ul>No se puede establecer comunicación SMB firmada digitalmente
    54. 54. Seguridad de Servidores Seguridad Física <ul><li>El acceso físico a los Servidores anula algunos procedimientos de Seguridad </li></ul>
    55. 55. Seguridad de Servidores Acceso Autorizado Seguro <ul><li>Componentes de un Acceso Autorizado Seguro </li></ul><ul><ul><li>Autenticación </li></ul></ul><ul><ul><li>Listas de Control de Acceso </li></ul></ul><ul><ul><li>Cuenta del Administrador por defecto </li></ul></ul><ul><li>Un Acceso Autorizado Seguro proporciona </li></ul><ul><ul><li>Confidencialidad </li></ul></ul><ul><ul><li>Integridad </li></ul></ul><ul><ul><li>Seguimiento </li></ul></ul>
    56. 56. Seguridad del Dominio Fronteras del Dominio <ul><li>Fronteras de Seguridad </li></ul><ul><ul><li>Bosque </li></ul></ul><ul><ul><li>Administradores Fiables </li></ul></ul><ul><li>Fronteras de Gestión </li></ul><ul><ul><li>Dominio </li></ul></ul><ul><ul><li>Unidades Organizativas </li></ul></ul><ul><li>Fronteras Administrativas </li></ul><ul><ul><li>Administradores del Dominio </li></ul></ul><ul><ul><li>Administradores de Servicios </li></ul></ul><ul><ul><li>Administradores de Datos </li></ul></ul>
    57. 57. Seguridad del Dominio Configuración de Seguridad <ul><li>Unidades Organizativas </li></ul><ul><li>Grupos Administrativos </li></ul><ul><li>Plantillas de Seguridad </li></ul><ul><li>Sincronización de Tiempo </li></ul><ul><ul><li>Kerberos </li></ul></ul>
    58. 58. Seguridad del Dominio Política del Dominio Account Policies User Rights Assignment Security Options <ul><li>Políticas de Cuentas </li></ul><ul><ul><li>Políticas de Claves </li></ul></ul><ul><ul><li>Políticas de Bloqueo </li></ul></ul><ul><ul><li>Políticas Kerberos </li></ul></ul>
    59. 59. Demo 1 Política del Dominio Demonstrar Estructuras de OU Demostrar Grupos Administrativos Crear y Mostrar los Fiecheros .inf de las Plantillas de Seguridad. Demostrar Configuraciones de Políticas de Cuentas
    60. 60. Fortificación de Servidores <ul><li>Securidad vs Functionalidad </li></ul><ul><li>Configuraciones de Seguridad </li></ul><ul><li>Limitar la Superficie de Ataque </li></ul><ul><li>Evitar Acceso Innecesario </li></ul><ul><li>Comunicación Segura </li></ul><ul><li>Actualizaciones de Seguridad </li></ul>
    61. 61. Fortificación de Servidores <ul><li>Microsoft Baseline Security Analyzer </li></ul><ul><li>Análisis y Configuración de Seguridad </li></ul><ul><li>Plantillas de Seguridad </li></ul><ul><li>Group Policy </li></ul><ul><li>Secedit </li></ul><ul><li>GPResult </li></ul><ul><li>GPUpdate </li></ul>
    62. 62. Política para Servidores Independientes Parámetros de las Políticas <ul><li>Aplicar Políticas a la OU de Servidores Independientes </li></ul><ul><li>Configuración Heredada por las OU hijas </li></ul>Política de Auditoría Asignación de Derechos de Usuario Opciones de Seguridad Registros de Eventos Servicios del Sistema Servidores Independientes
    63. 63. Política para Servidores Independientes Línea Base de Seguridad <ul><li>Configuración Manual </li></ul><ul><ul><li>Renombrar y cambiar la descripcion de las cuentas pre-definidas </li></ul></ul><ul><ul><li>Restringir el acceso de las cuentas pre-definidas y cuentas de servicio </li></ul></ul><ul><ul><li>No utilizar cuentas del dominio para los servicios en la medida de lo posible </li></ul></ul><ul><ul><li>Utilizar NTFS </li></ul></ul><ul><ul><li>Configurar encriptación en Terminal Services </li></ul></ul><ul><ul><li>No configurar “error reporting” (Sólo en Windows Server 2003) </li></ul></ul>
    64. 64. Demo 2 Aplicar la Política de Servidores Independientes Aplicar Política GPUpdate GPResult
    65. 65. Fortificación de Controladores de Dominio Parámetros de las Políticas <ul><li>A los Domain Controllers no les afecta la política de Servidores Independientes </li></ul><ul><li>Aplicar la Política a la OU de Domain Controllers </li></ul>Política de Auditoría Asignación de Derechos de Usuario Opciones de Seguridad Registros de Sucesos Servicios del Sistema Domain Controllers
    66. 66. Fortificación de Controladores de Domino Parámetros Adicionales <ul><li>Adicionalmente </li></ul><ul><ul><li>Cuentas específicas del Dominio en la Asignación de Derechos de Usuario </li></ul></ul><ul><ul><li>Ubicación del fichero log de Active Directory </li></ul></ul><ul><ul><li>Utilidad System Key(Syskey) </li></ul></ul><ul><ul><li>DNS integrado en Active Directory </li></ul></ul><ul><ul><li>IP Security (IPSec) </li></ul></ul>
    67. 67. Demo 3 Fortificación de Controladores de Dominio Aplicar la Política de Domain Controller Ver SysKey
    68. 68. Fortificación de Servidores Según su Rol Servidores de Infraestructura <ul><li>Heredan la configuración de la Política de Servidores Independientes </li></ul><ul><li>Configurar parámetros de Servicios </li></ul><ul><ul><li>Dynamic Host Configuration Protocol (DHCP) </li></ul></ul><ul><ul><li>Windows Internet Name Service (WINS) </li></ul></ul>Registro de Servicios Características de Disponibilidad Seguridad en cuentas locales IPSec
    69. 69. Fortificación de Servidores Según su Rol Servidores de Ficheros <ul><li>Hereda la configuración de la política de Servidores Independientes </li></ul><ul><li>Configurar Servicios </li></ul><ul><ul><li>Distributed File System (DFS) </li></ul></ul><ul><ul><li>File Replication Service (FRS) </li></ul></ul><ul><li>Asegurar cuentas pre-definidas y de servicios </li></ul><ul><li>Configurar IPSec </li></ul>
    70. 70. Fortificación de Servidores Según su Rol Servidores de Impresoras <ul><li>Hereda la configuración de la política de Servidores Independientes </li></ul><ul><li>Configurar Opciones de Seguridad </li></ul><ul><li>Configurar Servicios </li></ul><ul><li>Asegurar cuentas pre-definidas y de Servicios </li></ul><ul><li>Configurar IPSec </li></ul>
    71. 71. Fortificación de Servidores Según su Rol Internet Information Services (IIS) <ul><li>Hereda los valores de la Política de Servidores Independientes </li></ul><ul><li>Configurar asignación de derechos de usuarios </li></ul><ul><li>Configurar Servicios </li></ul><ul><li>Habilitar únicamente los componentes esenciales de IIS </li></ul><ul><ul><li>IIS deshabilitado por defecto en Windows Server 2003 </li></ul></ul><ul><ul><li>Instalación nueva únicamente en servidores con contenido estático </li></ul></ul><ul><li>Asegurar cuentas pre-definidas y de servicio </li></ul><ul><li>Configurar IPSec </li></ul>
    72. 72. Demo 4 Fortificación de Servidores Según su Rol Demonstrar Seguridad en IIS Aplicar Política de Seguridad de Servidor de Ficheros
    73. 73. Ejemplo de Combinación de Roles Servidor de Ficheros e Impresoras <ul><li>Servidor de Ficheros: configurar firma digital de comunicaciones SMB </li></ul><ul><li>Servidor de Impresoras: La firma digital SMB no evita que se imiprima SINO QUE se vea la cola de impresión </li></ul>
    74. 74. Ejemplo de Servidor Aislado <ul><li>No es parte de un Dominio </li></ul><ul><li>No se aplican Políticas de Grupo </li></ul><ul><li>Políticas locales </li></ul><ul><ul><li>Herramienta de Configuración y Análisis de Seguridad </li></ul></ul><ul><ul><li>Secedit </li></ul></ul>
    75. 75. Demo 5 Combinación de Roles y Fortificación de un Servidor Aislado Configuración y Análisis de Seguridad Secedit
    76. 76. Resumen <ul><li>Necesidad de Seguridad. </li></ul><ul><li>Definición del Problema. </li></ul><ul><li>Seguridad de Servidores. </li></ul><ul><li>Seguridad del Dominio. </li></ul><ul><li>Fortificación de Servidores </li></ul><ul><li>Política para Servidores Independientes. </li></ul><ul><li>Fortificación de Controladores de Dominio. </li></ul><ul><li>Fortificación de Servidores según su Rol </li></ul>
    77. 77. Más Información <ul><li>Información y recursos sobre seguridad de Microsoft </li></ul><ul><ul><li>www.microsoft.com/spain/seguridad </li></ul></ul><ul><ul><li>www.microsoft.com/spain/technet/seguridad </li></ul></ul><ul><li>Windows 2000 Server Security Guide </li></ul><ul><ul><li>http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/chklist/w2ksvrcl.asp </li></ul></ul><ul><li>Guia de Seguridad de Windows Server 2003 </li></ul><ul><ul><li>http://www.microsoft.com/spain/technet/seguridad/guias/guia_ws2003.asp </li></ul></ul>

    ×