2. Agenda
Mejoras Introductorias
Novedades de Seguridad en Active Directory
Protección de Datos
Protección de Red y Servicios
Dudas y preparación para la huída
4. Roles y Características
Ningún servicio por defecto (SCW no es necesario)
Los Roles añaden propósitos principales a los
servidores.
Las Características aportan funcionalidades extra
aplicables a muchos servidores diferentes.
El Administrador de Servidores proporciona una
ubicación centralizada de gestión de Roles y
Características.
6. Core Edition
Nueva opción de INSTALACIÓN
Menor superficie de ataque al no existir entorno
gráfico
Menores requisitos en el servidor (1 GB para instalar)
9 Roles soportados y muchas Características
(AERO NO)
Gestionable remotamente por MMC
8. Novedades de seguridad en
Active Directory
Auditoría de cambios de atributos
Políticas de contraseñas granuladas
Controladores de Dominio de Sólo-Lectura (RODC)
9. Controladores de Dominio
de Sólo Lectura (RODC)
Es un Controlador de Dominio que tiene una base de
datos de Active Directory de Sólo Lectura
¿Es esto un BDC? ¿Estamos volviendo atrás en el tiempo?
Sólo soporta replicación interna de las particiones y el
Sysvol (DNS de Sólo Lectura)
Mantiene una copia de las contraseñas de usuarios
específicos
10. ¿En qué entorno lo usaríamos?
Oficinas remotas con pocos usuarios
Mala protección física del Controlador de Dominio
Poco ancho de banda
Conocimientos limitados del administrador
12. Novedades en BitLocker
Cifrado de unidades aparte de la de sistema
Tres posibles factores de autenticación simultáneos
(TPM, USB y PIN)
Copia de las claves de recuperación de BitLocker de los
usuarios almacenable en AD DS
13. Syskey
Protege el contenido de la base de datos de Active
Directory y las LSA contra ataques offline
¿Es Syskey lo mismo que BitLocker?
Dos posibles formas de autenticación:
Contraseña y Almacenamiento Extraíble
Posibilidad de insertar la contraseña desde una
localización externa para evitar problemas
14. Protección de Red y
Servicios - I
Entidades Certificadoras:
Online Responder (Online Certificate Status Protocol)
Network Device Enrollment Service (SCEP)
Enrutamiento y Acceso Remoto:
SSTP
IIS 7.0
16. Protección de Red y
Servicios - II
Network Access Protection (NAP):
Network Policy Server & Health Registration Authority
Host Credential Authentication Protocol
Terminal Services:
Network Level Authentication
TS Gateway
Connection Authorization Policy
Resource Authorization Policy
17. Network Access Protection
El Network Policy Server es la implementación de RADIUS
de Microsoft y actúa también como evaluador del estado de
salud para los clientes NAP
No está pensado para evitar que entren los malos, sino para
que los buenos estén sanos y cumplan los requisitos
Si no se pasa el control, se puede iniciar un remedio a través de
los System Health Agents y los servidores de remedio
El servidor Health Registration Authority entrega certificados
de salud a los clientes (sólo IPSec)
El Host Credential Authorization Protocol sirve para integrar
la solución NAP con Cisco Network Admission Control
18. Terminal Services
La Autenticación a Nivel de Red permite comprobar
totalmente la identidad de un cliente antes de
establecer una conexión de Escritorio Remoto y ver la
pantalla de logon. Es necesario RDC 6.0 o superior.
El Servidor TS Gateway proporciona a clientes
autorizados la posibilidad de conectarse a Terminal
Services a través de HTTPS
Las TS CAP permiten especificar quiénes pueden
conectarse a un servidor TS Gateway, y las TS RAP
especifican a qué recursos se tiene acceso
19. ¡Gracias!
¿Preguntas?
Visitas recomendadas:
Microsoft Step-by-Step Guides
Windows Server 2008 Security Guide
Un informático en el Lado del Mal
Héroes Certificados
20. Creative Commons
Attribution-
You are free: NoDerivs 2.0
•to copy, distribute, display, and perform this work
Under the following conditions:
Attribution. You must give the original author credit.
No Derivative Works. You may not alter, transform, or build upon this
work.
For any reuse or distribution, you must make clear to others the license terms of this work.
Any of these conditions can be waived if you get permission from the author.
Your fair use and other rights are in no way affected by the above.
This work is licensed under the Creative Commons Attribution-NoDerivs License. To view a copy
of this license, visit http://creativecommons.org/licenses/by-nd/2.0/ or send a letter to Creative
Commons, 559 Nathan Abbott Way, Stanford, California 94305, USA.