Auditing SharePoint 2010

2,778 views

Published on

Charla impartida pòr Rubén Alonso en el IV Curso de Verano de Seguridad Informática de la Universidad Europea de Madrid.

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
2,778
On SlideShare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
105
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Auditing SharePoint 2010

  1. 1. Curso de Verano de Seguridad y Auditoría Informática – Entornos SharePoint<br />Rubén Alonso CebriánMVP SharePoint Serverhttp://www.puntocompartido.com<br />
  2. 2. Fortificación de servidores en tecnologías SharePoint<br />Dependiente del rol/roles a desempeñar por el sistema, se realizaran configuraciones ajustadas aplicando las reglas de fortificación:<br />MPE (Mínimo Punto de Exposición): Un sistema deje ejecutar sólo aquel software imprescindible para el desempeño de sus funciones<br />MPP (Mínimo Privilegio Posible): Todos los componentes de un sistema deben ser ejecutados con los privilegios mínimos imprescindibles<br />DeP (Defensa en Profundidad): Un sistema debe aplicar tantas medidas de seguridad como pueda, asumiendo que todas las anteriores han fallado, siempre y cuando una medida de seguridad no anule a otras y la disponibilidad del sistema no se degrade<br />
  3. 3. Administrador del servidor<br />Servidores de Microsoft configurados en base a roles mediante la herramienta Server Manager<br />Aplica el principio del Mínimo Punto de Exposición<br />No configura reglas de firewall, opciones de seguridad en servicios o configuraciones de registro ajustadas a la seguridad<br />
  4. 4. Asistente de Configuración de Seguridad<br />Disponible para plataformas Windows Server 2003 o superior a partir de SP1<br />Configuración automática del sistema en función de los roles que se ejecuten<br />Reduce la superficie de ataque mediante conjuntos de preguntas al usuario por el entorno que se desea obtener para determinar los parámetros de seguridad<br />Se encarga de:<br />Deshabilitar servicios innecesarios<br />Desactiva extensiones web innecesarias en IIS<br />Bloqueo de puertos no utilizados y apertura de puertos segura utilizando IPSec<br />Configura parámetros de auditoría (acciones y resultados auditados en el registro de eventos)<br />Importa plantillas de seguridad existentes<br />Reduce la exposición del protocolo para LDAP, NTLM y Server Message Block<br />Plantillas de reducción de superficie en entornos SharePoint para el asistente de configuración de seguridad mediante Microsoft SharePoint 2010 AdministrationToolkitv2.0<br />
  5. 5. Asistente de Configuración de Seguridad<br />Pasos:<br />Instalar los archivos de manifiesto<br />Ejecución del asistente de configuración<br />Creación de directiva de seguridad<br />Configuración de servicios basados en rol de servidor SharePoint<br />Configuración de seguridad de red<br /> Configuración de política de auditado<br />Conversión de directiva en GroupPolicyObject (opcional)<br />
  6. 6. Asistente de Configuración de Seguridad<br />Disponible para plataformas Windows Server 2003 o superior a partir de SP1<br />Configuración automática del sistema en función de los roles que se ejecuten<br />Reduce la superficie de ataque mediante conjuntos de preguntas al usuario por el entorno que se desea obtener para determinar los parámetros de seguridad<br />Se encarga de:<br />Deshabilitar servicios innecesarios<br />Desactiva extensiones web innecesarias en IIS<br />Bloqueo de puertos no utilizados y apertura de puertos segura utilizando IPSec<br />Configura parámetros de auditoría (acciones y resultados auditados en el registro de eventos)<br />Importa plantillas de seguridad existentes<br />Reduce la exposición del protocolo para LDAP, NTLM y Server Message Block<br />Plantillas de reducción de superficie en entornos SharePoint para el asistente de configuración de seguridad mediante Microsoft SharePoint 2010 AdministrationToolkitv2.0<br />
  7. 7. Microsoft Baseline Security Analyzer<br />Herramienta de auditoría de seguridad<br />Detecta fallos o deficiencias en las actualizaciones de seguridad o en apartados que inciden directamente en SharePoint como:<br />Seguridad en el sistema Windows<br />Seguridad en Internet InformationServices<br />Seguridad en SQL Server<br />Configuraciones administrativas<br />
  8. 8. Monitorización de servicios<br />Control de arquitecturas SharePoint mediante System Center Operations Manager (SCOM)<br />Microsoft SharePoint Foundation Management Pack for SCOM 2007<br />Microsoft SharePoint 2010 Management Pack for SCOM 2007<br />SCOM incorpora un asistente de monitorización de sitios que permite:<br />Realizar conexiones periódicas entre distintos equipos desde distintos lugares de la organización verificando y comprobando la accesibilidad y su estado funcional<br />Monitorización de los intervalos de respuesta obtenidos<br />Control de servidores en ubicaciones o sitios geográficos dispersos mediante la gestión de aplicaciones distribuidas <br />
  9. 9. Actualizaciones periódicas<br />Plan de actualizaciones periódicas mediante el rol Windows Server UpdateServices (WSUS)<br />Monitorización a través de políticas de grupo del estado de salud en cuanto a actualizaciones se refiere<br />Entornos más avanzados como System Center Configuration Manager (SCCM) permiten la opción de un despliegue forzado de actualizaciones<br />
  10. 10. Cuentas administradas<br />Se incorpora la gestión de cuentas administradas con cambios de contraseñas automático<br />Administración más coherente de cuentas utilizadas en los grupos de aplicaciones o servicios de SharePoint<br />
  11. 11. Seguridad en aplicaciones web<br />Directiva de usuario de aplicación web<br />Permiten administrar los permisos que se aplicarán sobre una determinada aplicación web a usuarios o grupos<br />Útil para establecer que distintos usuarios o grupos de seguridad obtengan diferentes niveles de acceso a través de una zona a todas las colecciones de sitios dentro de una aplicación web<br />Métodos de autenticación<br />Autenticación en modo clásico<br />Permite el uso de proveedores de autenticación Windows<br />Anónima, básica, NTLM, implícita, certificados, negociación (kerberos)<br />Autenticación basada en notificaciones<br />Basada en Microsoft Windows IdentityFoundation (WIF)<br />Permite el uso de proveedores de autenticación Windows, autenticación basada en formularios (FBA) y autenticación basada en tokenSAML permitiendo el uso de:<br />Servicios de federación de Active Directory<br />Windows Live ID<br />Proveedores de identidad de terceros<br />
  12. 12. Servicio de almacenamiento Seguro<br />Aplicación de servicio que sustituye a la característica de inicio de sesión único existente en la versión anterior<br />Configuración requerida para proporcionar soporte a otras aplicaciones de servicio que requieran de credenciales de acceso a orígenes de datos externos<br />Se utiliza una base de datos segura donde se almacenan identificadores de aplicación para ser recuperados en el acceso a los orígenes de datos<br />
  13. 13. Privilegios de acceso<br />Privilegios de acceso a la granja<br />Administrador de la granja de servidores<br />Administrador de la aplicación de servicio (NUEVO)<br />Privilegios de acceso al contenido<br />Permisos de usuario de la aplicación web<br />Administrador de la colección de sitios<br />Modelo de seguridad de una colección de sitios<br />Usuarios y grupos<br />Niveles de permisos<br />Acceso anónimo<br />
  14. 14. Características de seguridad<br />Integración con RMS<br />Configuración de antivirus<br />Tipos de archivos bloqueados<br />Manejo de archivos en el explorador<br />HTTP X-Download-options:noopen<br />Analizador de salud de SharePoint<br />Enfoque proactivo mediante métricas utilizadas por SharePoint HealthAnalyzer detectando problemas y recomendado soluciones para:<br /> Errores de configuración<br /> Errores de rendimiento<br /> Errores de seguridad<br />
  15. 15. Copias de seguridad<br />Copia de seguridad del conjunto de servidores<br />Panel de disponibilidad:<br />Indicadores visuales que nos advierten de si podemos realizar una copia de seguridad con éxito<br />Copia de seguridad de servicios:<br />Servicios de Excel, servicios de Formularios de Infopath, etc …<br />Limpieza de trabajos de copia de seguridad automática<br />Parámetros preconfigurados<br />Nº de subprocesos<br />Ubicación de la copia de seguridad<br />Copia de seguridad mediante PowerShell<br />
  16. 16. Copias de seguridad<br />Copia de seguridad pormenorizada<br />Copia de seguridad de una colección de sitios<br />Exportación de sitios o listas mediante entorno gráfico<br />La exportación de sitios o listas permite elegir:<br />Exportar el modelo de seguridad<br />Exportar la información de versiones<br />
  17. 17. Gestión de auditorías<br />La gestión de contenido empresarial engloba:<br />Administración de documentos<br />Administración de registros<br />Administración de activos digitales<br />La administración de documentos engloba:<br />Navegación mediante metadatos<br />Control de versiones<br />Aprobación de documentos<br />Directivas de administración de la información<br />Encargadas de los registros de auditoría<br />
  18. 18. Gestión de auditorías<br />Directivas de administración de información<br />Auditorías<br />Códigos de barras<br />Retención<br />Etiquetas<br />Informes de uso de directivas<br />Informes de registros de auditoría<br />Configuración de auditoría de la colección de sitios<br />Registro de diagnósticos<br />
  19. 19. Protección contra fugas de datos<br />Riesgos de seguridad y privacidad asociados a los metadatos (Tony Blair in the butt)<br />Esquema Nacional de la Seguridad<br />Artículo 5.7.6 «Limpieza de documentos»<br />Prevención de Fuga de Datos (Data LostPrevention) mediante herramientas de limpieza de metadata<br />Microsoft Office XP, 2003: RemoveHidden Data ToolAdd-in<br />Microsoft Office 2007, 2010: Nativo mediante el menú Preparar<br />MetaShield Protector<br />Herramienta para la eliminación de datos ocultos en sitios web y arquitecturas SharePoint<br />
  20. 20. Protección contra fugas de datos<br />Funcionamiento de MetaShield Protector:<br />MetaShield Protector “captura” las peticiones de ficheros al Servidor Web.<br />Recupera el contenido del fichero y lo limpia en memoria.<br />Sirve el fichero limpio al cliente<br />
  21. 21. Publicación segura<br />Gestión antimalware y filtrado, protección de datos en tránsito o publicación segura mediante comprobación de seguridad en cliente mediante línea Forefront:<br />Protección antimalware con Forefront Protection for SharePoint 2010 (Antivirus y filtrado)<br />Protección perimetral con Forefront Unified Access Gateway 2010 (Portal de autenticación unificado y comprobación de seguridad en el equipo cliente)<br />Protección con Forefront Threat Management Gateway 2010 (Firewall) con funciones de publicación de sitios mediante proxy inverso.<br />
  22. 22. Rol de servidor de base de datos<br />Herramienta de Configuración de Superficie de Área Expuesta en SQL Server 2005 sustituida por Declarative Management Framework y uso de directivas<br />Descarga de políticas mediante SQL Server Feature Pack <br /> Incluyen bestpractices de securidad<br />Uso de auditorias mediante entorno gráfico. Dos ámbitos:<br />De servidor <br />De base de datos<br />Función get_audit_file_dest para auditorías en disco<br />
  23. 23. Pentest en servidores SharePoint<br />Por su puertos de administración<br />Escáner de puertos tipo NMAP en busca de puertos abiertos<br />Puerto de administración aleatorio por encima del 1024<br />Por búsquedas en Google<br /> Búsquedas de rutas o archivos de publicación más comunes<br /> /layouts, *.deleteweb.aspx, etc.<br />Por búsquedas en Shodan<br /> Búsquedas por direcciones IP, routers, servicios y sistemas operativos<br />
  24. 24. Errores comunes<br />Falta de actualizaciones, hotfix, cumulatives updates, etc.. o mala implementación a nivel de SSOO, BBDD o SharePoint<br />
  25. 25. Errores comunes<br />Equivocada implementación de inicio<br />SharePoint requiere de tres cuentas de servicio principales:<br />Cuenta de acceso al contenido (FarmAdministrator)<br />Cuenta de instalación/actualización del entorno <br />Cuenta para el servicio SQL Server <br />Generalmente estas cuentas infringen el principio de privilegio mínimo posible al utilizar cuentas pertenecientes a administradores del dominio o con privilegios elevados<br />
  26. 26. Errores comunes<br />Cuenta de acceso al contenido (FarmAdministrator)<br />Cuenta de acceso a la base de datos<br />Utilizada para ejecutar el servicio temporizador de SharePoint (SharePoint timer Service) y el servicio del sitio web de la consola central de administración de SharePoint<br />Cuenta de instalación/actualización del entorno<br />Utilizada para procesos de instalación/configuración. Propietaria de la base de datos SharePoint_Config<br />Miembro del grupo de administradores locales en cada servidor donde se instale SharePoint 2010. <br />Deberá poseer acceso al servidor SQL con las siguientes funciones de seguridad de SQL Server: Securityadmin y dbcreator<br />No debe tener privilegios especiales a nivel de sistema. Al ejecutar la instalación y configuración de SharePoint, los procesos de configuración y el ejecutable psconfig.exe utilizarán sus credenciales para crear las bases de datos y los inicios de sesión en SQL para las cuentas de SharePoint.<br />Deberá poseer el rol de base de datos SharePoint_Shell_Access para cualquier base de datos que desea crear o modificar mediante el uso de Windows PowerShell. <br />Cuenta para el servicio SQL Server (Utilizada en el servicio SQL Server/SQL Server Agent)<br />Cuenta de sistema local o una cuenta de usuario de dominio, dando prioridad a esta última.<br />Esta cuenta de dominio no debería formar parte en Active Directory del grupo Administradores del dominio ni tener permisos específicos a nivel de dominio<br />Los privilegios y derechos necesarios serán asignados localmente en el servidor SQL durante la instalación de SQL Server (sysadmin, securityadmin, etc…).<br />
  27. 27. Umbrales de rendimiento<br />Un uno inadecuado de los repositorios puede causar inestabilidad en el entorno de gestión documental<br />SharePoint 2010 proporciona como novedad la gestión de umbrales de rendimiento<br />Microsoft proporciona WhitePapers de pruebas de rendimiento<br />
  28. 28. Y no nos olvidemos del cifrado<br />Uso de certificados SSL para cifrar datos en tránsito en sitios de SharePoint <br />Repositorios SQL Server admiten cifrado:<br /> SQL Server 2005 incluyó cifrado lógico de los datos<br />Mediante DPAPI y uso de clave maestra de servicio<br />SQL Server 2008 incluyó cifrado físico de la base de datos<br />Mediante DatabaseEncryption Key<br />Se admiten proveedores de cifrado externos (Hardware Security Module)<br />
  29. 29. Información de interés<br />Punto compartido (http://www.puntocompartido.com/blogshare)<br />Informática 64 (http://www.informatica64.com)<br />SharePoint User Group Spain , SUGES (http://www.suges.es)<br />Microsoft SharePoint 2010: Seguridad (http://www.informatica64.com/libros.aspx)<br />Hand onLab Fortifica SharePoint Server 2010 (http://www.informatica64.com/Detalle.aspx?id=083010193)<br />
  30. 30. TechNews de Informática 64<br />Suscripción gratuita en http://www.informatica64.com/technews.aspx<br />
  31. 31. Contactos<br />Informática 64<br />http://www.informatica64.com<br />i64@informatica64.com<br />+34 91 146 20 00<br />Fernando Gómez Muñoz<br />ralonso@informatica64.com<br />

×