Windows Server SP1. Fortificación de Servidores

Windows Server 2003. SP1. Fortificación de Servidores
Código: HOL-WIN10 Windows Server SP1. Fortificación de Servidores Fernando Punzon Ortiz

Agenda Gestión de Seguridad Fortificación de Servidores Conceptos
Demo: Aplicación GPOs Gestión de plantillas de seguridad Aplicación de plantillas Configuración y Análisis Configuraciones específicas Aplicación de roles Auditoría de Seguridad Caja Blanca Caja Negra Service Pack 1 de Windows 2003 Security Configuration Wizard Firewall Windows 2003

Gestión de Seguridad

Impacto de los Ataques Pérdida de Beneficios Daños en la reputación
Security breaches affect organizations in a variety of ways. They often result in the following: Loss of revenue Damage to the reputation of the organization Loss or compromise of data Interruption of business processes Damage to customer confidence Damage to investor confidence Legal Consequences -- In many states/countries, legal consequences are associated with the failure to secure the system—for example, Sarbanes Oxley, HIPAA, GLBA, California SB 1386. Security breaches can have far-reaching effects. When there is a perceived or real security weakness, the organization must take immediate action to ensure that the weakness is removed and the damage is limited. Many organizations now have customer-facing services—for example, websites. Customers may be the first people to notice the result of an attack. Therefore, it is essential that the customer-facing side of the business be as secure as possible. Deterioro de la confianza de los inversores Datos comprometidos Daños en la confianza de los clientes Interrupción de los procesos de Negociio Consecuencias legales (LOPD/LSSI)

2003 CSI/FBI Survey The latest Computer Security Institute/Federal Bureau of Investigation (CSI/FBI) Computer Crime and Security Survey has interesting figures concerning the financial loss to businesses suffering computer-related attacks. The survey shows that information theft and denial of service (DoS) attacks are responsible for the biggest losses. Consequently, it is important to realize that whereas the cost of implementing security protection is not trivial, it is a fraction of the cost of mitigating security compromises. The most effective security solution is to build a layered environment so that an attack to any one layer is isolated. An attack would have to compromise multiple layers to be successful. This is called defense in depth. This security framework will be discussed in detail later in this presentation.

Incidentes Reportados al CERT
Data Source: CERT (

Vulnerabilidades por Años
Data Source: CERT (

Attack Sophistication vs. Requisite Skills
Nail down source of slide (FBI/CSI?)

Ataques

Source: Company web sites
Trustix 1.5 Debian Windows XP Sun (OS) Mandrake 8.x 20 40 60 80 100 120 RedHat 7.2 Windows 2000 EnGarde SuSE Problema de la Industria IT Vulnerabilidades en Sistemas Operativos

Source: Company web sites
20 40 60 80 100 120 Problema de la Industria IT Vulnerabilidades en Sistemas Operativos Windows 2003 OpenBSD Windows XP Windows 2000 SuSE SUN Mandrake RedHat Debian

Problema de la Industria IT Vulnerabilidades en Sistemas Operativos - Agosto 2004

Vulnerabilidades

Disciplina de Administración de Riesgos de Seguridas (SRMD)
Evaluación Evaluar y valorar los activos Identificar los riesgos de seguridad Analizar y priorizar la gestión de riesgos Seguimiento, planificación y gestión. Desarrollo e Implementación Desarrollar mecanismos correctivos Probar el remedio. Funcionamiento Reevaluación Estabilización Security risk management discipline (SRMD) defines the three primary processes that a business needs to implement in order to become and stay secure. The three processes are: Assessment – This phase involves gathering relevant information from the organization’s environment to perform a security assessment. You need to capture enough data to effectively analyze the current state of the environment. Then determine how well protected the organization’s information assets are from potential threats. Create a security action plan; this plan is executed during the implementation process. Development and Implementation – This phase focuses on executing a security action plan to implement the recommended changes defined in the assessment. Additionally, a security risk contingency plan is developed. Operation – During this phase, modify and make updates to the environment as needed to keep it secure. Penetration testing and incident response strategies, which help solidify the objectives of implementing a security project in the organization, are carried out during operational processes. Auditing and monitoring activities are also carried out during the operational processes to keep the infrastructure intact and secure. Additional details of SRMD can be found in the Microsoft Solutions Guide for Securing Windows 2000 Server at

Evaluación y Valoración
Asset assessment is the value placed on information from the point of view of the parties involved and the effort it took to develop the information. Asset assessment also involves determining the value of a network service—for example, the value of a service that provides network users with outbound Internet access from the point of view of the parties that use that service, and what it would cost to re-create that service. Valuation is how much it costs to maintain an asset, what it would cost if it were lost or destroyed, and what benefit another party would gain by obtaining this information. The value of an asset should reflect all identifiable costs that would arise if there were an actual impairment of the asset. In determining asset priorities, either arbitrary values, as shown in the slide, or specific values, such as actual monetary cost, can be used. Organizations should use whichever scale is most appropriate to highlight the relative value of their assets.

Identificar Riesgos. STRIDE
Tipos de Amenazas Ejemplos Spoofing Suplantación de direcciones de correo Phising Tampering Alteración de datos en transmisión Cambio de datos en ficheros Repudiation Borrado de un archivo crítico y negación del acto Comprar productos y luego negarlo Information disclosure Dar información en mensajes de error Exponer códigos en servidores web Denial of service Anulación de servidor Web Anular las cuentas de usuario Elevation of privilege Exploits para obtener mayores privilegios. Robar contraseñas Security risk identification enables project team members to brainstorm and identify potential security risks. Information is collected on threats, vulnerabilities, exploits, and countermeasures. The STRIDE model provides a valuable and easily remembered framework for identifying threats and possible exploits. Spoofing identity is the ability to obtain and use another user’s authentication information. An example of identity spoofing is using another user’s user name and password. Tampering with data involves the modification of data. An example would be tampering with a client’s cookie contents. Repudiation is the ability to deny that something has happened. An example of repudiation would be a user uploading malicious data and the system being unable to trace the operation. Information disclosure involves the exposure of information to users who are not supposed to have it. An example of information disclosure is the ability to read confidential medical files that an attacker has not been given access to. Denial of service attacks deny normal service to your users. An example of denial of service would be making a website unavailable by flooding it with a massive amount of HTTP requests. Elevation of privilege is the process attackers go through to perform a function that they are not entitled to perform. This may be done by exploiting a weakness in software or by using credentials illegitimately. Other attacks that can occur might be performed solely to incur a cost on the target. For example, an attack could be mounted against a fax service or a cellular telephone to make a large number of international calls at great expense.

Evaluación: Prioridad Riesgos DREAD
Damage Reproducibility Exploitability Affected Users Discoverability Exposición al riesgo = Prioridad Riesgo x Valor del daño. Security risk analysis is used to analyze the attacks, tools, methods, and techniques that might be used to exploit a potential vulnerability. Security risk analysis is a method of identifying risks and assessing the possible damage that could be caused. The result of the assessment can be used to justify security safeguards. A security risk analysis has three main goals: Identify risks, quantify the impact of potential threats, and provide an economic balance between the impact of the risk and the cost of the countermeasure. Information is collected to estimate the level of risk so that the team can make educated decisions around which security risks should receive the most remediation effort. This analysis is then used to prioritize security risks and enable the organization to commit resources to address the most critical security issues. When a threat has been identified, the threat needs to be ranked. One approach is DREAD. A rating of 1 through 10 is assigned in five areas: damage, reproducibility, exploitability, affected users, and discoverability. The ratings are averaged, which gives you an overall threat rank. The higher the rank, the more serious the threat. This ranking provides a view of the relative priority of each risk rather than an actual risk quantification. You can take this threat rank and multiply by a system’s criticality to give you a risk exposure for a system.

Evaluación: Prioridad Riesgos DREAD

Evaluación: Planificación
Types of threats Examples Spoofing Forge messages Replay authentication packets Tampering Alter data during transmission Change data in files Repudiation Delete a critical file and deny it Purchase a product and later deny it Information disclosure Expose information in error messages Expose code on Web sites Denial of service Flood a network with SYN packets Flood a network with forged ICMP packets Elevation of privilege Exploit buffer overruns to gain system privileges Obtain administrator privileges illegitimately Security risk tracking, planning, and scheduling take the information obtained from the security risk analysis and use it to formulate mitigation and contingency strategies and plans that encompass them. Security risk scheduling attempts to define a schedule for the various remediation strategies constructed during the build phase of a security project. This scheduling takes into consideration the way the security plans are approved and incorporated into the information architecture, in addition to the standard day-to-day operations procedures that have to be implemented. Política de Seguridad

Implementación Configuracion Gestíón de Actualizaciones
Política de Seguridad Configuracion Gestíón de Actualizaciones Monitorización del Sistema Auditoria Gesitón de Políticas Procedimientos Security risk remediation development is the process of taking the plans that were created during the assessment phase and using them to create a new security strategy involving configuration management, patch management, system monitoring and auditing, and operational policies and procedures. As various countermeasures are developed, it is important to ensure thorough tracking and reporting on progress.

Evaluación y Pruebas Configuracion Gestíón de Actualizaciones
Monitorización del Sistema Auditoria Gesitón de Políticas Procedimientos Pruebas Security risk remediation testing occurs after the development of the remediation strategies and associated system management changes have taken place, and the policies and procedures to determine their effectiveness have been written. The testing process enables the team to consider how these changes can be deployed in a production environment. During the testing process, the countermeasures are evaluated for effectiveness against how well the security risk is controlled, and for undesirable impacts on other applications.

Implantación Security risk learning formalizes the process for capturing knowledge about how the team secured the assets, and it documents the vulnerabilities and the exploits that were discovered. When the information technology (IT) department gathers new security information, such information must be captured and redeployed to ensure the continuous optimized effectiveness of the security countermeasures protecting the assets of the organization. In addition, security education needs to take place for the business communities. This education can take the form of training or security awareness bulletins. Your organization must define a formal risk management process that will define how security countermeasures are initiated and evaluated and under what circumstances transitions between the steps should occur for individual security risks or groups of security risks. LAN

Revaluación: Monitorización
Pruebas Organizations are dynamic, and your security plan must be too. Update your risk assessment periodically. In addition, reevaluate the risk assessment plan whenever you have a significant change in operation or structure. Thus, if you reorganize, move to a new building, switch vendors, activate a new Web site, or undergo other major changes, you should reassess the risks and potential losses using the steps outlined earlier in the Assessment phase. It is important to assess risks continually. This means that you should never stop searching for new risks, and it means that existing risks are periodically reevaluated. If either part does not happen, risk management will not benefit your organization. How often you review your risk management plan and its triggers for this should be defined in the security policy for the organization. Reassessing assets and risks are essentially change management processes, but this is also where security configuration management is executed. This leads to release management when the new countermeasures and security policies are completed. LAN Nuevos Servicios

Defensa en Profundidad
Directivas, Procedimientos y concienciación. Seguridad Física Datos ACL, encriptación Código seguro, fortificación, antivirus… Aplicacion To minimize the possibility of a successful attack against your organization, you need to maximize the layers of defense. Defending your organization in depth means that you use multiple layers of defense. If one layer is compromised, it does not necessarily mean that your entire organization is compromised. As a general guideline, design and build each layer of your security under the assumption that every layer has been breached. Take steps to protect the layer you are working on. In addition, there are many ways to protect each individual layer by using tools, technologies, policies, and best practices. For example: Policies, procedures, and awareness layer – Security education programs for users Physical security layer – Security guards, locks, and tracking devices Perimeter layer – Hardware and/or software firewalls, and creating virtual private networks with quarantine procedures Internet network layer – Network segmentation, IP Security (IPSec), and network intrusion detection systems Host layer – Server and client hardening practices, patch management tools, strong authentication methods, and host-based intrusion detection systems Application layer – Application hardening practices and antivirus software Data layer – Access control lists (ACLs) and encryption Servidor Fortificación host, gestión de actualizaciones, autenticación, HIDS Red Interna Network segments, IPSec, NIDS Perímetro Firewalls, VPN quarantine Guardas, cierres, dispositivos de vigilancia Formación

Respuesta ante Incidentes
Reconocer que se está produciendo un ataque Identificar el ataque Having clear, comprehensive, and well-tested incident response plans and procedures is the key to enabling rapid and controlled reaction to threats. To limit the impact of an attack, it is important that the response to the attack be swift and complete. For this to happen, the monitoring and auditing of systems must take place. After the attack is identified, the response to the attack will depend on the type of the attack. Communicate the fact that the attack has taken place to all relevant personnel. As much as possible, contain the impact of the attack. Take preventive measures to ensure that the attack cannot recur. Create documentation to specify the nature of the attack, how it was identified, and how it is combated. Notificar el ataque Detener el ataque Implementar medidas preventivas Documentar el ataque

Contener los Efectos Apagar servidores afectados Aislar de la red
When a system is attacked, it should be shut down and removed from the network. Other systems on the network must be protected. The affected servers should be kept and analyzed, and the findings should be documented. It can be very difficult to meet the legal standards for evidence preservation and still be able to move on with day-to-day business. A detailed plan for evidence preservation that meets the legal requirements in your jurisdiction should be developed in concert with your legal advisors so that a plan will be in place when your network is attacked. Bloquear tráfico E/S de red Proteger equipos no afectados Preservar las evidencias

Seguridad: Best Practices
Defensa en profundidad Seguro por diseño Menor privilegio posible Aprender de los errores Manteniemiento de niveles de seguridad Concienciación de seguridad Desarrollo y prueba de planes de seguridad Follow the defense-in-depth model. Each layer in the model is protected by the adjacent layers and relies on all layers being implemented. There is a constant compromise between functionality and security. The two are rarely complementary. Although the focus might once have been on providing functionality, the focus now is firmly on security. This facilitates a secure-by-design culture. Software and systems are secure by default and by design, making it easier to create a secure network environment. Processes and applications running on a computer system do so with a defined level of privilege over the system. Unless configured otherwise, processes started while a user is logged on to the system run with the same privilege as that of the user. To prevent accidental attacks, all users of the system must log on with the least privilege required to perform their functions. Viruses run with the privilege of the user who is logged on. As a result, viruses will have much wider scope if the user is logged on as an administrator. Applications and services should also run with the least privilege necessary. It is vitally important that you understand that security is not a goal; it is a journey. There is never a completely secure environment. New viruses, patches, and exploits keep occurring. Learn from experience, and keep extensive records of everything. To maintain security levels, implement monitoring and auditing procedures, and make sure that the output from these procedures is processed regularly. Having clear, comprehensive, and well-tested incident response plans and procedures is the key to enabling rapid and controlled reaction to threats.

Directrices de Seguridad para Usuarios (I)
Elegir contraseñas complejas* 1 Proteger las contraseñas 2 Notas para el alumno: Los usuarios pueden ser el vínculo más débil de la infraestructura de seguridad. No obstante, los usuarios pueden adoptar medidas sencillas que ayuden a proteger la infraestructura de la red. Pueden evitarse muchas infracciones de seguridad si se instruye a los usuarios para que sigan estas directrices: Elegir contraseñas complejas. Para esto es necesario que los usuarios sepan en qué consiste una contraseña compleja y quizás sea necesario enseñarles cómo pueden recordar contraseñas complejas. Proteger las contraseñas. Compruebe que los usuarios entienden por qué son importantes las contraseñas para la seguridad. Bloquear los equipos desatendidos. Los usuarios no deben dejar desatendidos los equipos sin bloquear sus escritorios. Considere la posibilidad de exigir esta configuración mediante un protector de pantalla que bloquee automáticamente el escritorio después de un período de inactividad. No iniciar una sesión con una cuenta con privilegios. Si es posible, los usuarios no deben tener acceso administrativo a sus equipos. Si la organización necesita esta clase de acceso, asegúrese de que los usuarios inician las sesiones con una cuenta sin privilegios y, después, utilicen una característica de inicio de sesión secundario para realizar las tareas administrativas. Ejecutar sólo programas de confianza. Las directivas de restricción de software pueden impedir que los usuarios ejecuten programas no autorizados. Los usuarios también deben ser conscientes del peligro de ejecutar programas no autorizados por la organización. No abrir datos adjuntos sospechosos. Los servidores de correo y las aplicaciones cliente pueden bloquear datos adjuntos ejecutables, pero es posible que estos métodos no funcionen correctamente. Los usuarios deben saber lo peligroso que puede ser abrir datos adjuntos desconocidos. No ser víctima de estratagemas sociales. Las estratagemas sociales son técnicas que engañan a los usuarios para que pongan en peligro la seguridad. Los usuarios deben ser conscientes de los métodos de estratagemas sociales que los atacantes utilizan y cómo responder ante tales métodos. Revisar las directivas de seguridad de la organización. Asegúrese de que las directivas de seguridad son fáciles de entender y que los usuarios las consultan con regularidad. No intentar suplantar la configuración de seguridad. Los usuarios deben darse cuenta de que la configuración de seguridad se ha implementado por un motivo y que intentar omitirla puede poner en peligro la seguridad de la organización. Informar sobre incidentes sospechosos. Los informes y la documentación de estos incidentes permitirá investigarlos y responder a ellos. Bloquear los equipos desatendidos* 3 No iniciar una sesión con una cuenta con privilegios* 4 Ejecutar sólo programas de confianza* 5

Directrices de Seguridad para Usuarios (II)
No abrir datos adjuntos sospechosos* 6 No ser víctima de estratagemas sociales 7 Notas para el alumno: Los usuarios pueden ser el vínculo más débil de la infraestructura de seguridad. No obstante, los usuarios pueden adoptar medidas sencillas que ayuden a proteger la infraestructura de la red. Pueden evitarse muchas infracciones de seguridad si se instruye a los usuarios para que sigan estas directrices: Elegir contraseñas complejas. Para esto es necesario que los usuarios sepan en qué consiste una contraseña compleja y quizás sea necesario enseñarles cómo pueden recordar contraseñas complejas. Proteger las contraseñas. Compruebe que los usuarios entienden por qué son importantes las contraseñas para la seguridad. Bloquear los equipos desatendidos. Los usuarios no deben dejar desatendidos los equipos sin bloquear sus escritorios. Considere la posibilidad de exigir esta configuración mediante un protector de pantalla que bloquee automáticamente el escritorio después de un período de inactividad. No iniciar una sesión con una cuenta con privilegios. Si es posible, los usuarios no deben tener acceso administrativo a sus equipos. Si la organización necesita esta clase de acceso, asegúrese de que los usuarios inician las sesiones con una cuenta sin privilegios y, después, utilicen una característica de inicio de sesión secundario para realizar las tareas administrativas. Ejecutar sólo programas de confianza. Las directivas de restricción de software pueden impedir que los usuarios ejecuten programas no autorizados. Los usuarios también deben ser conscientes del peligro de ejecutar programas no autorizados por la organización. No abrir datos adjuntos sospechosos. Los servidores de correo y las aplicaciones cliente pueden bloquear datos adjuntos ejecutables, pero es posible que estos métodos no funcionen correctamente. Los usuarios deben saber lo peligroso que puede ser abrir datos adjuntos desconocidos. No ser víctima de estratagemas sociales. Las estratagemas sociales son técnicas que engañan a los usuarios para que pongan en peligro la seguridad. Los usuarios deben ser conscientes de los métodos de estratagemas sociales que los atacantes utilizan y cómo responder ante tales métodos. Revisar las directivas de seguridad de la organización. Asegúrese de que las directivas de seguridad son fáciles de entender y que los usuarios las consultan con regularidad. No intentar suplantar la configuración de seguridad. Los usuarios deben darse cuenta de que la configuración de seguridad se ha implementado por un motivo y que intentar omitirla puede poner en peligro la seguridad de la organización. Informar sobre incidentes sospechosos. Los informes y la documentación de estos incidentes permitirá investigarlos y responder a ellos. Revisar las directivas de seguridad de la organización 8 No intentar suplantar la configuración de seguridad* 9 10 Informar sobre incidentes sospechosos *Estas directrices de seguridad se pueden implementar totalmente o en parte mediante directivas centralizadas

10 Immutable Laws of Security
1 If an attacker can persuade you to run his program on your computer, it's not your computer anymore. 2 If an attacker can alter the operating system on your computer, it's not your computer anymore. 3 If an attacker has unrestricted physical access to your computer, it's not your computer anymore. 4 If you allow an attacker to upload programs to your website, it's not your website anymore. 5 Weak passwords prevail over strong security. 6 A machine is only as secure as the administrator is trustworthy. 7 Encrypted data is only as secure as the decryption key. 8 An out-of-date virus scanner is only marginally better than no virus scanner at all. 9 Absolute anonymity isn't practical, in real life or on the Web. 10 Technology is not a panacea. When you choose to run a program, you are making a decision to turn over control of your computer to it. Once a program is running, it can do anything, up to the limits of what you yourself can do on the machine. In the end, an operating system is just a series of ones and zeros that, when interpreted by the processor, cause the machine to do certain things. Change the ones and zeros, and it will do something different. Where are the ones and zeros stored? Why, on the machine, right along with everything else! They're just files, and if other people who use the machine are permitted to change those files, it's "game over." If someone has physical access to your computer, he or she has full control over the computer and can do anything to it such as modifying data, stealing data, taking the hardware, or physically destroying the computer. If you run a website, you need to limit what visitors can do. You should allow a program on your site only if you wrote it yourself or if you trust the developer who wrote it. But that may not be enough. If your website is one of several hosted on a shared server, you need to be extra careful. If a bad guy can compromise one of the other sites on the server, it's possible that he can extend his control to the server itself and thus control all of the sites on it—including yours. If a hacker can compromise your password, he can log on to your computer and do anything on your computer that you can do. Always use a password; it is amazing how many accounts have blank passwords. And choose a complex one. Do not use your dog's name, your anniversary date, or the name of the local football team. And do not use the word password! An untrustworthy administrator can negate every other security measure you've taken. He can change the permissions on the machine, modify the system security policies, install malicious software, add bogus users, or do any of a million other things. He can subvert virtually any protective measure in the operating system because he controls it. Worst of all, he can cover his tracks. If you have an untrustworthy administrator, you have absolutely no security. Many operating systems and cryptographic software products give you an option to store cryptographic keys on the computer. The advantage is convenience—you don't have to handle the key—but it comes at the cost of security. The keys are usually obfuscated (that is, hidden), and some of the obfuscation methods are quite good. But in the end, no matter how well hidden the key is, if it is on the machine, it can be found. It has to be able to be found: after all, the software can find it, so a sufficiently motivated bad guy can find it too. Whenever possible, use offline storage for keys. Virus scanners work by comparing the data on your computer against a collection of virus signatures. Each signature is characteristic of a particular virus, and when the scanner finds data in a file, in an , or elsewhere that matches the signature, it concludes that it has found a virus. However, a virus scanner can scan only for the viruses it knows about. It is vital that you keep your virus scanner's signature file up-to-date because new viruses are created every day. The best way to protect your privacy on the Internet is the same way you protect your privacy in normal life—through your behavior. Read the privacy statements on the websites you visit, and do business only with websites whose practices you agree with. If your are worried about cookies, disable them. Most important, avoid indiscriminate Web surfing: recognize that just as most cities have a bad side of town that is best avoided, the Internet does too. Perfect security requires a level of perfection that simply does not exist and in fact is not likely ever to exist. This is true for software as well as virtually all fields of human interest. Software development is an imperfect science, and virtually all software has bugs. Some of them can be exploited to cause security breaches. That is just a fact of life. But even if software could be made perfect, it would not solve the problem entirely. Most attacks involve, to one degree or another, some manipulation of human nature—this is usually referred to as social engineering. Raise the cost and difficulty of attacking security technology, and bad guys will respond by shifting their focus away from the technology and toward the human being at the console. It is vital that you understand your role in maintaining solid security, or you could become the chink in your own systems' armor. To view the full article on the 10 immutable laws of security, see:

Fortificación de Servidores

Defensa en Profundidad: Aplicación del mayor número de medidas de protección a un servidor. Mínima Exposición: Limitar al máximo la interacción con el servidor por parte del entorno externo. Menor Privilegio Posible: La concesión de derechos debe ser controlada y llevada a la mínima necesidad.

Su objetivo es ayudar en la seguridad de un servidor: Confidencialidad. Disponibilidad. Integridad.

La fortificación de servidores implica incomodidad. Es independiente de los ataques. Su aplicación es totalmente dependiente del diseño. Se puede automatizar.

La metodología de fortificación es dependiente de tres factores: Se apoya en las mejoras de la TECNOLOGÍA. Necesita del establecimiento de PROCEDIMIENTOS. Imprescindible la participación de las PERSONAS.

Diseño Progresivo de Seguridad PROCEDIMIENTOS BÁSICOS RECOMENDACIONES COMUNES CONFIGURACIONES ESPECÍFICAS

Procedimientos Básicos
Gestión de Actualizaciones de Seguridad Uso de GPOs para reforzar servidores Eliminación de Servicios no utilizados Directivas de contraseña seguras Deshabilitado de Autenticación Lan Manager y NTLMv1 Restricción física al servidor y a la red

Servicios que NO se Deben Deshabilitar
Servicios de cifrado Cliente DHCP Cliente DNS Registro de sucesos Servicios IPSec Conexiones de red Proveedor de compatibilidad con seguridad LM de Windows NT Plug and Play Almacenamiento protegido Llamada a procedimiento remoto (RPC) Registro remoto Administrador de cuentas de seguridad Servidor Notificación de sucesos del sistema Ayuda de NetBIOS sobre TCP/IP Windows Installer Instrumental de administración de Windows Horario de Windows Estación de trabajo Notas para el alumno: Algunos servicios son necesarios para el funcionamiento correcto de Windows. No debe deshabilitar estos servicios a menos que se den circunstancias muy poco habituales en las que no se necesiten las funciones que proporcionan estos servicios. Por ejemplo, si configura un servidor como host bastión, tal como se indica en la Guía de seguridad de Windows Server 2003, es posible que necesite deshabilitar algunos de los siguientes servicios. No obstante, por regla general, tenga en cuenta los siguientes consejos preceptivos avanzados sobre los servicios específicos que no deben deshabilitarse en servidores de red: Servicios de cifrado Cliente DHCP Cliente DNS Registro de sucesos Servicios IPSec Conexiones de red Proveedor de compatibilidad con seguridad LM de Windows NT Plug and Play Almacenamiento protegido Llamada a procedimiento remoto (RPC) Registro remoto Administrador de cuentas de seguridad Servidor Notificación de sucesos del sistema Ayuda de NetBIOS sobre TCP/IP Windows Installer Instrumental de administración de Windows Horario de Windows Estación de trabajo

Servicios que es conveniente deshabilitar
Portafolios Servicio de informe de errores SSL de HTTP Servicio COM de grabación de CD de IMAPI Servicio de Index Server Conexión de seguridad a internet (ICF)/Conexión compartida a Internet (ICS) Messenger Servicio POP3 de Microsoft Escritorio remoto compartido de NetMeeting Administrador de conexión automática de acceso remoto Administrador de conexión de acceso remoto Servicio de publicación World Wide Web Notas para el alumno: Una de las prácticas básicas de seguridad del servidor consiste en deshabilitar los servicios que no sean necesarios. Considere los siguientes consejos preceptivos avanzados sobre servicios específicos que deben o no deshabilitarse en servidores de red. Hay algunos servicios que deben deshabilitarse a menos que se necesiten para la función que efectúa el equipo. Muchos de estos servicios están deshabilitados de forma predeterminada en Windows Server Algunos de los servicios que es conveniente deshabilitar son: Portafolios Servicio de informe de errores SSL de HTTP Servicio COM de grabación de CD de IMAPI Servicio de Index Server Conexión de seguridad a internet (ICF)/Conexión compartida a Internet (ICS) Messenger Servicio POP3 de Microsoft Escritorio remoto compartido de NetMeeting Administrador de conexión automática de acceso remoto Administrador de conexión de acceso remoto Servicio de publicación World Wide Web Puede utilizar Directiva de grupo para deshabilitar servicios en servidores. Antes de deshabilitar un servicio, determine sus dependencias. Nota: Firewall de Windows debe estar habilitado siempre en equipos que se conecten directamente a Internet. No obstante, al habilitarlo en una red corporativa puede impedir la administración remota y otras funciones. Por este motivo, no se recomienda normalmente utilizar Firewall de Windows en redes que estén protegidas de Internet mediante un servidor de seguridad corporativo.

Gestión de Actualizaciones de Seguridad
Cliente Escenario Elección Usuario Siempre Windows Update PYMES Sin servidores De 3 a 5 servidores con clientes WUS Empresa Media o Grande Gestión simplificada sin control avanzado de equipos Gestión avanzada, flexible, con control y distribución de software SMS If you are a consumer, Windows Update is your logical choice. If you are a small business customer, Windows Update and SUS are the logical options. If you have at least one Microsoft Windows Server and one skilled IT administrator, you should choose SUS. Otherwise, use Windows Update. If you are a medium or large enterprise, SUS and SMS are the logical options. If you need a simple but somewhat limited patch management solution, choose SUS. If you want full software distribution, including patch management functionality, choose SMS. Note: SUS can be used to update only Windows 2000, Windows XP, and Windows Server 2003; it cannot support older versions of Windows. You should use Windows Update or manual processes for operating systems other than those listed above and for application software.

Windows Update Service
Funcionalidad de SUS Parent SUS Server Servidor SUS descarga las actualizaciones. La actualizaciones aprobadas se distribuyen a los SUS hijos. Los clientes descangan la lista de actualizaciones. El cliente nofitica la instalación al usuario Se guarda el histórico. Los clientes descargan las actualizaciones necesarias. Windows Update Service Child SUS Server Bandwidth Throttling Los administradores revisan y aplrueban Firewall The parent SUS server downloads metadata about new updates, as well as the updates themselves, from the Windows Update site. Note: SUS maintains approval logs and download, synchronization, and installation statistics. The administrator reviews the new updates and approves the appropriate ones after completing any required testing. SUS maintains download and approval logs on the statistics (IIS) server. Information about approved updates, including information for determining whether the update is installed, is distributed to any child SUS servers. Automatic Updates on your client machine makes contact with the SUS server to determine whether there are any newly approved updates. If so, it gets the metadata information for the update and checks to see whether it is already installed. If the updates have not yet been installed, AU either (depending on the configuration) automatically downloads the missing updates or notifies you that there are missing updates and requests your permission to download them. For target systems with AU configured to pull updates from an SUS server, AU downloads approved updates from the specified SUS server. For target systems with AU configured to pull updates from Windows Update, AU downloads the appropriate updates from Windows Update. AU checks digital signatures on downloaded updates to verify authenticity and integrity. Depending on AU configuration, AU either automatically installs the updates or notifies you and then allows you to review and select the updates to be installed and when to install them. In the final step, AU logs the success or failure history for update installations on the target machines.

Recomendaciones Comunes
Cambio de nombre de cuentas estándar invitado y administrador Restricción de acceso a cuentas de servicio Nunca iniciar servicio con una cuenta del dominio Uso de NTFS para discos Aplicación de GPOs ajustadas

Gestión de Servidores basada en AD Aplicación de directivas correctamente Diseño correcto OU. Organice OUS por Roles. Delegación GPO Site Domain OU

Demo: Aplicación GPO a OU

Plantillas de Seguridad
Proporcionan los mecanismos para incrementar la seguridad sobre los equipos. Son ficheros que proporcionan la capacidad para simplificar la implantación de seguridad en equipos. Incrementan o modifican las directivas que se están aplicando.

Plantillas de Seguridad

Aplicación de Plantillas
Las plantillas pueden aplicarse por importación en políticas locales o mediante el uso en GPO. Mediante la herramienta de configuración de seguridad. Mediante línea de comando con la ejecución del comando Secedit.

Componentes de las Plantillas
Las plantillas de seguridad controlan los siguientes aspectos de una máquina: Cuentas de usuario. Auditorías. Derechos de usuarios. Opciones de seguridad. Visor de sucesos. Grupos restringidos. Servicios. Claves de registro. Sistema de ficheros.

Componentes de las Plantillas
Área de seguridad Descripción Directivas de cuentas Directivas de contraseñas, de bloqueo de cuentas y Kerberos Directivas locales Directiva de auditoría, asignación de derechos de usuario y opciones de seguridad Registro de sucesos Configuración de los registros de aplicación, sistema y sucesos de seguridad Grupos restringidos Pertenencia a grupos sensibles a la seguridad Servicios del sistema Inicio y permisos para servicios del sistema Registro Permisos para claves del Registro Sistema de archivos Permisos para carpetas y archivos Notas para el alumno: Las plantillas de seguridad son archivos basados en texto que definen la configuración de directivas de seguridad para equipos que se ejecutan en la plataforma Windows. Con la herramienta Configuración y análisis de seguridad, los administradores pueden seleccionar una plantilla de seguridad predefinida o personalizada y aplicarla a un sistema según la función de éste. Puede aplicar plantillas de seguridad con Directiva de grupo. El uso de Directiva de grupo permite aplicar la configuración de las plantillas de forma centralizada y exigir la aplicación de esta configuración aunque se modifique en un equipo. Puede combinar plantillas y aplicarlas a distintos niveles de la estructura de Active Directory a fin de reducir el tiempo necesario para administrar la configuración de seguridad. Las guías de configuración de seguridad de Windows contienen plantillas recomendadas para diversas funciones comunes de los equipos. La Guía de seguridad de Windows Server 2003 incluye 24 plantillas de seguridad. Puede utilizar estas plantillas para establecer la configuración de seguridad de dominios, así como la configuración de seguridad para diversas funciones de servidor y entornos con distintos requisitos en seguridad (incluidas las plantillas para clientes corporativos, de alta seguridad y clientes antiguos). La Guía de seguridad de Microsoft Windows XP incluye plantillas de seguridad para clientes corporativos (equipos de escritorio y equipos portátiles), de alta seguridad (equipos de escritorio y equipos portátiles) y para clientes antiguos (cuentas, equipos de escritorio y equipos portátiles con configuración corporativa y de alta seguridad). Las plantillas de seguridad contienen opciones de configuración para las siguientes áreas: Directivas de cuentas Directivas locales Registro de sucesos Grupos restringidos Servicios del sistema Registro Sistema de archivos

Uso de directivas de cuentas en el nivel de dominio
Opción Vulnerabilidad Medida preventiva Posibles efectos Ejemplo de directiva de cuentas: Forzar el historial de contraseñas Los usuarios utilizan de nuevo la misma contraseña Utilice el valor máximo Los usuarios pueden tener anotadas contraseñas antiguas Ejemplo de directiva de cuentas: Las contraseñas deben cumplir los requisitos de complejidad Las contraseñas que no son complejas se pueden adivinar fácilmente Habilite esta opción Indique a los usuarios que utilicen frases Los usuarios pueden no recordar contraseñas complejas Ejemplo de directiva de cuentas: Vigencia mínima de la contraseña Los usuarios pueden cambiar de contraseña varias veces para poder utilizar de nuevo una contraseña Establezca 2 días para la opción Vigencia mínima de la contraseña Si un administrador cambia la contraseña de un usuario, es posible que el usuario no pueda cambiarla durante 2 días Ejemplo de directiva Kerberos: Forzar restricciones de inicio de sesión de usuario Los usuarios pueden obtener vales de sesión para servicios no autorizados Reduzca la caducidad de los vales y exija una sincronización más estricta de los relojes Mayor tráfico de red; incapacidad para conectarse a los servidores Notas para el alumno: Las directivas de cuentas se implementan en el nivel de dominio. Si se establecen directivas de cuentas en Active Directory en cualquier nivel distinto del nivel de dominio, sólo se ven afectadas las cuentas locales en los servidores integrantes. Si hay grupos que necesitan directivas de contraseñas independientes, deben separarse en otro dominio o bosque en función de los requisitos adicionales. La plantilla para clientes corporativos de nivel de dominio que proporciona la Guía de seguridad de Windows Server 2003 incluye las siguientes opciones de cuentas: Forzar el historial de contraseñas = se recuerdan 24 contraseñas; Vigencia máxima de la contraseña = 42 días; Vigencia mínima de la contraseña = 2 días; Longitud mínima de la contraseña = 8 caracteres; Las contraseñas deben cumplir los requerimientos de complejidad = habilitada; y Almacenar contraseñas con cifrado reversible para todos los usuarios del dominio = deshabilitada. La plantilla de seguridad no define las directivas Kerberos. La configuración de directivas de cuentas es fundamental para la seguridad de los clientes y de la red. La plantilla de seguridad necesita contraseñas complejas, lo que significa que las contraseñas deben cumplir tres de estos cuatro requisitos de complejidad: caracteres en mayúsculas (A–Z), caracteres en minúsculas (a–z), 10 dígitos de base (0–9) y caracteres no alfanuméricos (!, $, # o %). Además, una contraseña debe tener seis caracteres como mínimo y no puede contener tres o más caracteres del nombre de la cuenta del usuario. En la mayoría de los casos, las contraseñas complejas largas proporcionan el mejor nivel de seguridad para las cuentas. Otra opción es establecer un valor bajo de umbral de bloqueo de cuenta de manera que las cuentas de usuario se bloqueen después de un número bajo de intentos incorrectos de inicio de sesión. No obstante, este método es problemático, ya que los usuarios no pueden tener acceso a los recursos de la red si por equivocación bloquean su propia cuenta o los atacantes pueden bloquear muchas cuentas de usuario al intentar iniciar una sesión como varios usuarios. Un método mejor es exigir contraseñas complejas largas y establecer un umbral de bloqueo de cuenta bastante alto de manera que el usuario pueda realizar varios intentos con la contraseña. Información adicional: (este sitio está en inglés)

Situaciones de Implementación (I)
Equipo cliente Ubicación y uso Configuración de seguridad Windows XP Professional (Equipo independiente) Lugar público para explorar la intranet La directiva impide la ejecución de todas las aplicaciones, excepto Internet Explorer Implemente una plantilla de alta seguridad Las directivas se configuran mediante la directiva de seguridad local Windows XP Professional (Integrante de un dominio) Lugar público para servidores Web de correo electrónico y de terminal La directiva impide la ejecución de todas las aplicaciones, excepto Internet Explorer y Conexión a escritorio remoto Las directivas se configuran mediante objetos de directiva de grupo asignados a unidades organizativas Notas para el alumno: Aplique directivas de seguridad restrictivas y plantillas de seguridad para mejorar la seguridad de los clientes. Implemente siempre las directivas de seguridad más restrictivas que permitan a los usuarios realizar sus tareas. La mayoría de los entornos de red tienen implementan las estaciones de trabajo en varios escenarios distintos. Al diseñar la configuración de seguridad, tenga en cuenta lo siguiente: El sistema operativo del cliente Si el cliente es un equipo independiente o un integrante de un dominio La ubicación del cliente (en un lugar público o una oficina segura) El uso del cliente (para explorar la red intranet, comprobar el correo electrónico o realizar actividades empresariales)

Situaciones de Implementación (II)
Equipo cliente Ubicación y uso Configuración de seguridad Windows XP y 2000 Professional (Integrante de un dominio) En una oficina segura para realizar actividades empresariales La directiva restringe sólo aplicaciones específicas Implemente una plantilla de seguridad para clientes corporativos y modifíquela según sea necesario Las directivas se configuran mediante objetos de directiva de grupo asignados a unidades organizativas Windows XP Professional (Integrante de un dominio) En una oficina segura y para el uso por parte de administradores de dominios La directiva impide la ejecución de todas las aplicaciones (pero no se aplica a los administradores) Implemente una plantilla de alta seguridad y modifíquela según sea necesario Notas para el alumno: Aplique directivas de seguridad restrictivas y plantillas de seguridad para mejorar la seguridad de los clientes. Implemente siempre las directivas de seguridad más restrictivas que permitan a los usuarios realizar sus tareas. La mayoría de los entornos de red tienen implementan las estaciones de trabajo en varios escenarios distintos. Al diseñar la configuración de seguridad, tenga en cuenta lo siguiente: El sistema operativo del cliente Si el cliente es un equipo independiente o un integrante de un dominio La ubicación del cliente (en un lugar público o una oficina segura) El uso del cliente (para explorar la red intranet, comprobar el correo electrónico o realizar actividades empresariales)

Plantillas Predefinidas.
Plantilla por defecto (Setup security). Utilizada habitualmente para restaurar a una situacion original en combinacion con plantillas incrementales, contiene una gran cantidad opciones configuradas Plantilla de controladores de dominio (DC security). Plantilla por defecto aplicada como parte del Dcpromo.

Plantillas Predefinidas II
Compatible (Compatws). Incremental relaja las permisos en el sistema de archivos y en el registro para permitir a usuarios sin privilegios ejecutar determinadas aplicaciones Seguridad (Securedc Securews). Incrementales. Aumentan la seguridad en cliente o servidor Altamente seguro (Hisecdc Hisecws). Incrementales. Alta seguridad en cliente y en servidor Seguridad permisos raíz de las unidades (Rootsec). Incremental aplica permisos por defecto a la raiz del sistema.

Herramientas de Gestión de Plantillas
La administración de las plantillas puede ser realizada desde: La consola Plantillas de seguridad. Consola configuración y análisis de la seguridad. Ambas herramientas son añadidas como complementos de MMC.

Consola de Plantillas de Seguridad
Gestiona aquellas plantillas predefinidas por Microsoft. Se encuentran en la siguiente ruta: %systemroot%\security\templates. Permite generar nuevas plantillas y realizar administración sobre ellas.

Configuración y Análisis de la Seguridad
Es una herramienta con doble objetivo: Proporcionar los mecanismos para comparar la seguridad de una máquina con una base de datos de análisis. Configurar una máquina con la información de una base de datos creada a través de plantillas.

Análisis El análisis se basa en operaciones de una base de datos sobre la que se irán importando las plantillas necesarias. Posteriormente se ejecute el análisis que determina la diferencias entre la base de datos y las directivas efectivas en la máquina.

Configuración Apertura de base de datos. Puede ser nueva o una ya existente. Importación de plantillas hasta conseguir la configuración deseada. Seleccionar configurar equipo ahora. Seleccionar la ruta del registro de errores.

Herramientas de Plantillas Administrativas

Análisis y configuración

Secedit Comando que permite realizar operaciones sobre la configuración de seguridad. Permite realizar operaciones mediante scripts. En windows 2003 pierde la funcionalidad de /refreshpolicy, reemplazada por la orden gpupdate

Funcionalidades Secedit
Analizar. secedit /analyze /db FileName.sdb [/cfg FileName] [/overwrite] [/log FileName] [/quiet] Configurar. secedit /configure /db FileName [/cfg FileName ] [/overwrite][/areas Area1 Area2 ...] [/log FileName] [/quiet] Exportar. secedit /export [/DB FileName] [/mergedpolicy] [/CFG FileName] [/areas Area1 Area2 ...] [/log FileName] [/quiet] Importar. secedit /import /db FileName.sdb /cfg FileName.inf [/overwrite] [/areas Area1 Area2 ...] [/log FileName] [/quiet]

Resultante de Políticas
Sistema complementario de los anteriores que evalúa no solo plantillas de seguridad sino GPO. Presenta dos herramientas: RSoP. Herramienta gráfica. GPRESULT. Línea de Comando.

Demo: Creación de una plantilla

Demo: Importación de una plantilla en una GPO

Demo: Análisis de diferencia entre plantilla y configuración

Infrastructure Servers File & Print Servers IIS Servers Certificate Services Servers Bastion Hosts Apply Incremental Role-Based Security Settings Apply Member Server Baseline Policy Securing Active Directory Hardening Procedures RADIUS (IAS) Servers

Demo: Aplicación de plantilla de servidor miembro

Servidores de Infraestructura
Aplicación de plantilla de Servidor de Infraestructura. Configuración registro DHCP Protección frente DOS DHCP DNS Integrado en AD Protección de cuentas de usuario Tráfico solo en puertos necesarios

Servidores de Archivos
Aplicación de plantilla Servidor de Archivos Protección NTFS Deshabilitación de servicios no usados (DFS) Auditoría de archivos importantes Protección de cuentas de servicio Puertos solo permitidos IPSec

Servidor de Impresión Protección de cuentas de servicio
Aplicación de plantilla Servidor de Impresión Servicio de cola de impresión activo Protección de cuentas de servicio Puertos solo permitidos IPSec

Servidores IIS Aplicación plantilla Servidor IIS
Habilitación solo de componentes esenciales Bloqueo de tráfico por puertos no permitidos IPSec HIDS Restricción de cuentas de usuario

Auditoría de Servidores

Auditoría Caja Blanca Se realiza internamente
Con privilegios y visualización completa del sistema Se utilizan herramientas proporcionadas por el fabricante o propias MBSA MOM 2005

Auditoría Caja Negra Se realiza desde fuera
Ofrece la visión de un hacker No puede ser ejecutada desde dentro: Falsos positivos No garantiza “Servidor Seguro” No todos los escáner ofrecen los mismos resultados. SSS, Nessus, GFI Languard, Retina, ISS Real Secure, ...

Scanners de Vulnerabilidades (Retina)

Demo: MBSA Languard - Retina

Server 2003 Service Pack 1 <SLIDETITLE>Windows Server 2003 Service Pack 1 Technical Overview</SLIDETITLE> <KEYWORDS></KEYWORDS> <KEYMESSAGE>Welcome the audience to the session and introduce yourself</KEYMESSAGE> <SLIDEBUILDS>0</SLIDEBUILDS> <SLIDESCRIPT> Hello and Welcome to this Microsoft TechNet session, Windows Server 2003 Service Pack 1 Technical Overview. My name is {insert name} </SLIDESCRIPT> <SLIDETRANSITION>Here is what we will cover today.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION>

Windows Server Roadmap
Las entregas clave del futuro de Windows Server serán las siguientes: De 2008 en adelante 2007 <SLIDETITLE>Windows Server Roadmap</SLIDETITLE> <KEYWORDS></KEYWORDS> <KEYMESSAGE></KEYMESSAGE> <SLIDEBUILDS>0</SLIDEBUILDS> <SLIDESCRIPT> As we can see towards the end of next year we can expect an update to Windows Server 2003 currently known as R2. This time of year should also see the Longhorn betas start. Windows Server 2003 SP2 should be available in 2006 and Longhorn released in 2007. </SLIDESCRIPT> <SLIDETRANSITION>Let's summarize what we have seen.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION> 2006 Windows Server "Longhorn" Service Pack and Update 2005 (2ª mitad) Windows Server "Longhorn" 2005 (1ª mitad) Windows Server "Longhorn" Beta 2 Windows Server 2003 SP2 Windows Server 2003 "R2" Update Windows Server "Longhorn" Beta 1 Windows Server 2003 SP1 Windows Server 2003 for 64-Bit Extended Systems release Feature packs still to come

Metas de Windows Server 2003 SP1
Actualizaciones del producto Mejoras en las Tecnologías de Seguridad Prevenir contra: Acceso innecesario o no solicitado a las aplicaciones y el sistema operativo. Virus Gusanos [BUILD 1]SP1 contains all of the released product updates for Windows Server 2003… [BUILD 2]But it also contains a number of security enhancements to the operating system. These enhancements relate to both local security, including preventing unwanted code execution, and network security, including requiring authentication for remote connectivity. [BUILD 3]The security enhancements used as a whole, and correctly configured, control access to the operating system and applications that are running on it, and help guard against many of the well known virus attacks and worms that have recently appeared. </SLIDESCRIPT> <SLIDETRANSITION>You will now take a look at some of these enhancements in more depth</SLIDETRANSITION>

Coincidencias con XP SP2
Incorpora muchas de las funcionalidades de XP SP2 y además: Security Configuration Wizard Post-Setup Security Updates Iguales a las de XP SP2 pero con diferente comportamiento: DEP Windows Firewall RPC

Mejoras en la seguridad del Sistema
Protección del Servidor durante el periodo en el que se instala el Servidor y la instalación de las últimas actualizaciones. Windows Firewall esta activado por defecto si explícitamente no se configura de otra manera durante la instalación. <SLIDETITLE>Post Setup Security Updates</SLIDETITLE> <KEYWORDS>Product updates, setup security</KEYWORDS> <KEYMESSAGE>Identify the features of the PSSU interface.</KEYMESSAGE> <SLIDEBUILDS>2</SLIDEBUILDS> <SLIDESCRIPT> [BUILD 1]The Post Setup Security Update interface enables administrators to safely install product updates after an initial installation of Windows Server 2003 and SP1. [BUILD 2]To provide protection to the server, Windows Firewall is enabled until the administrator clicks finish in the interface, preventing remote access to the server until the updates are installed. If Windows Firewall is explicitly configured in any way during the installation process, including being disabled, this configuration takes effect. </SLIDESCRIPT> <SLIDETRANSITION>Let's have a look at the PSSU interface.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION>

Mejoras en la Seguridad del Sistema
<SLIDETITLE>Post Setup Security Updates</SLIDETITLE> <KEYWORDS>Post Setup Security Updates</KEYWORDS> <KEYMESSAGE>Show the PSSU interface.</KEYMESSAGE> <SLIDEBUILDS>0</SLIDEBUILDS> <SLIDESCRIPT> As you can see the PSSU interface enables the downloading of product updates and the configuration of the Automatic Updates service. This interface appears only when administrators logon to the server, and will appear again if the server reboots, either due to a product update installation or other maintenance, until the Finish button is clicked. Windows Firewall is turned off and the service disabled when the Finish button is clicked. </SLIDESCRIPT> <SLIDETRANSITION>The PSSU interface does not appear with every installation of SP1.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION>

Mejoras en la Seguridad del Sistema
Se invoca después de: Actualización de Windows NT4 a Windows Server 2003 SP1 Instalación combinada de Windows Server 2003 y SP1 NO invocada después de: Actualización desde Windows 2000 a Windows Server 2003 SP1 Actualización desde Windows Server 2003 a SP1 <SLIDETITLE>Post Setup Security Updates</SLIDETITLE> <KEYWORDS>Post Setup Security Updates</KEYWORDS> <KEYMESSAGE>Explain when the PSSU interface appears</KEYMESSAGE> <SLIDEBUILDS>2</SLIDEBUILDS> <SLIDESCRIPT> [BUILD 1]The PSSU interface appears after an upgrade to Windows Server 2003 SP1 from Windows NT4 and also if SP1 is installed in combination with the operating system. [BUILD 2]The interface does not appear if Windows 2000 is upgraded to Windows Server 2003 SP1 or if an existing Windows Server 2003 server is upgraded to SP1. </SLIDESCRIPT> <SLIDETRANSITION>Let's have a look at another security enhancement.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION>

Mejoras en la Seguridad del Sistema Data Execution Prevention
Forzada por el hardware y el software Hardware DEP Requiere que el procesador lo soporte o implemente El procesador marca áreas de la memoria como No Ejecutable excepto si específicamente contiene código ejecutable. Puede causar problemas de compatibilidad. Software DEP Funcionalidad en cualquier procesador que soporte Windows Server 2003 Protege los binarios del sistema de ataques relacionados con el manejo de las excepciones del sistema. Es raro que cause problemas de compatibilidad. <SLIDETITLE>Data Execution Prevention</SLIDETITLE> <KEYWORDS>Data Execution Prevention</KEYWORDS> <KEYMESSAGE>Explain DEP functionality.</KEYMESSAGE> <SLIDEBUILDS>3</SLIDEBUILDS> <SLIDESCRIPT> [BUILD 1]SP1 provides Data Execution Prevention capabilities to Windows Server DEP can be enforced in both hardware and software. [BUILD 2]Hardware DEP requires processor support. Both Intel and AMD provide processors that support this feature. The processor marks any area of memory that does not contain executable code as non-executable. This helps to prevent exploits or attacks that insert code into memory and then execute it. Hardware DEP may cause compatibility issues with applications or drivers, especially those that dynamically create executable code. [BUILD 3]Software DEP works on any processor that supports Windows Server 2003. Software DEP protects the system from attacks that use the way Windows handles exceptions to run malicious code on the system. Software DEP only affects system binaries. Software DEP is unlikely to cause compatibility issues. </SLIDESCRIPT> <SLIDETRANSITION>Let's have a look at how that works.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION>

<SLIDETITLE>Data Execution Prevention</SLIDETITLE> <KEYWORDS>Data Execution Prevention</KEYWORDS> <KEYMESSAGE>Show how DEP works.</KEYMESSAGE> <SLIDEBUILDS>0</SLIDEBUILDS> <SLIDESCRIPT> [BUILD 1]The processor moves application processes and code into memory so that it can be used. With Hardware DEP when the processor does this it marks the memory locations that don’t contain executable code as non-executable. [BUILD 2]There may be an attempt to run code from a non-executable area of memory as may happen in a buffer overrun attack where the contents of the memory is overwritten with malicious code. [BUILD 3]The processor prevents the code execution from taking place. </SLIDESCRIPT> <SLIDETRANSITION>You can enable DEP in a couple of ways.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION> NE NE NE NE = No-Execute

Se configura en el Boot.ini /noexecute=PolicyLevel OptIn – Se habilita el Software DEP. El Hardware DEP solo se activa para aplicaciones que se configuran específicamente. OptOut – Se activan tanto el Software DEP como el Hardware DEP. Solo se deshabilitan para aplicaciones especificadlas en al lista de excepciones. AlwaysOn – El Software DEP y el Hardware DEP siempre están habilitadas. Cualquier excepción es ignorada. AlwaysOff – El Software DEP y el Hardware DEP están deshabilitadas. <SLIDETITLE>Data Execution Prevention</SLIDETITLE> <KEYWORDS>Data Execution Prevention</KEYWORDS> <KEYMESSAGE>How to enable DEP using Boot.ini</KEYMESSAGE> <SLIDEBUILDS>5</SLIDEBUILDS> <SLIDESCRIPT> [BUILD 1]DEP can be enabled using the /noexecute boot.ini switch. The /noexecute switch can be applied with four different levels of protection [BUILD 2]The OptIn policy level enables software DEP and applies Hardware DEP to applications that are configured to use it. [BUILD 3]The OptOut policy level enables both Software DEP and Hardware DEP for all executables except those in the exception list. We will see where the exception list is configured in a moment. [BUILD 4]The AlwaysOn policy level enables Software DEP and Hardware DEP and applies them to all executables even if there is an exception list. [BUILD 5]The AlwaysOff policy level disables both Software DEP and Hardware DEP. </SLIDESCRIPT> <SLIDETRANSITION>Let's see where the exception list is configured.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION>

Interface Grafico Etiqueta Data Execution Prevention en el Panel de control | System | Advanced | Performance | Se configura la lista de aplicaciones excluidas. Se deshabilita Hardware DEP <SLIDETITLE>Data Execution Prevention</SLIDETITLE> <KEYWORDS>Data Execution Prevention</KEYWORDS> <KEYMESSAGE>How to configure DEP using the graphical interface</KEYMESSAGE> <SLIDEBUILDS>4</SLIDEBUILDS> <SLIDESCRIPT> [BUILD 1]The graphical interface for DEP is located in System Properties. [BUILD 2]It enables an administrator to configure an exception list of executables and [BUILD 3]to disable Hardware DEP altogether. [BUILD 4]The interface looks like this </SLIDESCRIPT> <SLIDETRANSITION>The next feature concerns Internet Explorer.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION>

Mejoras en la Seguridad del Sistema Internet Explorer
Mejoras en Internet Explorer Funcionalidades en el control de la configuración Prevención en la elevación de Zona. Gestion de los Add-on Barra de Información Gestión de los Pop-up Restricciones de Windows Seguridad en las Descargas Windows XP Service Pack 2 <SLIDETITLE>Internet Explorer</SLIDETITLE> <KEYWORDS>Internet Explorer</KEYWORDS> <KEYMESSAGE>Explain the changes to Internet Explorer</KEYMESSAGE> <SLIDEBUILDS>2</SLIDEBUILDS> <SLIDESCRIPT> [BUILD 1]There are many changes to the behavior of Internet Explorer implemented in SP1. These changes make the browser environment more secure and easier to use than before. The changes range from the blocking of pop-ups to the prevention of zone elevation and more stringent security for downloaded files. [BUILD 2]These changes were implemented for the client in Windows XP SP2. If you wish to know more about these changes and their effects on compatibility they are covered in some depth in the Application Compatibility Guide for Windows XP SP2 which can be downloaded from Microsoft's web site. </SLIDESCRIPT> <SLIDETRANSITION>SP1 introduces a new wizard that helps administrators configure security depending on server role.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION>

Mejoras en la Seguridad del Sistema Security Configuration Wizard
No esta instalado por defecto. Para instalarlo : Panel de Control. Add\Remove Programs Windows Components <SLIDETITLE>Security Configuration Wizard</SLIDETITLE> <KEYWORDS>Security Configuration Wizard</KEYWORDS> <KEYMESSAGE>Explain how to configure the Security Configuration Wizard</KEYMESSAGE> <SLIDEBUILDS>1</SLIDEBUILDS> <SLIDESCRIPT> [BUILD 1]The Security Configuration Wizard enables role based configuration but is not installed by default. It can be installed through add\remove programs in Control Panel under Windows Components. </SLIDESCRIPT> <SLIDETRANSITION>Let's see what the Security Configuration Wizard does.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION>

Identifica puertos abiertos El asistente se debe de ejecutar con las aplicaciones requeridas y los servicios arrancados. Selecciona el rol del servidor de la base de datos de configuración. Configura los servicios requeridos. Configura los puertos para el Firewall de Windows Configura la seguridad para LDAP y SMB Configura una política de auditoria Configura los parámetros específicos de los roles que tiene el servidor. <SLIDETITLE>Security Configuration Wizard</SLIDETITLE> <KEYWORDS>Security Configuration Wizard</KEYWORDS> <KEYMESSAGE>Explain what the Security Configuration Wizard does</KEYMESSAGE> <SLIDEBUILDS>7</SLIDEBUILDS> <SLIDESCRIPT> [BUILD 1]The wizard should be run on a server that is running services and applications for their role as it identifies ports that need to be open in the firewall. [BUILD 2]The wizard utilises a database of server roles and the general configurations for that role. We can select one or more roles for the server and the wizard will store the necessary configuration. [BUILD 3]The wizard then guides you through configuration of services… [BUILD 4]…Windows firewall… [BUILD 5]...LDAP and SMB security… [BUILD 6]…And an audit policy, recording configuration requirements in each section. [BUILD 7]The wizard then configures services specific to the roles the server is performing. For example if the server is running IIS it will include a section that allows you to configure the web server. </SLIDESCRIPT> <SLIDETRANSITION>How does the wizard let you configure other servers?</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION>

La configuración se salva en un fichero XML. Se aplica por el asistente Se puede aplicar una política de seguridad existente a otro equipo. Se puede aplicar desde la línea de comando. scwcmd.exe configure /p:webserverpolicy.xml Se puede usar en scripts Sripts de instalación desatendida <SLIDETITLE>Security Configuration Wizard</SLIDETITLE> <KEYWORDS>Security Configuration Wizard</KEYWORDS> <KEYMESSAGE>Explain how to use the Security Configuration Wizard to secure additional servers.</KEYMESSAGE> <SLIDEBUILDS>3</SLIDEBUILDS> <SLIDESCRIPT> [BUILD 1]All of the configurations that you make are saved to an XML file. [BUILD 2]This XML file is used to apply the configuration to additional computers. We can do this by using the wizard itself and selecting Apply an existing policy… [BUILD 3]…Or we can apply the XML file from the command line or in scripts. </SLIDESCRIPT> <SLIDETRANSITION>Let's run the wizard to see all this.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION>

Demo: Security Configuration Wizard

Mejoras en la Seguridad del Sistema Windows Firewall
Mejoras en el Internet Connection Firewall (ICF) No habilitado por defecto Excepto durante PSSU Se puede configurar durante la instalación. <SLIDETITLE>Windows Firewall</SLIDETITLE> <KEYWORDS>Windows Firewall</KEYWORDS> <KEYMESSAGE>Explain the default settings for Windows Firewall.</KEYMESSAGE> <SLIDEBUILDS>2</SLIDEBUILDS> <SLIDESCRIPT> [BUILD 1]Windows Firewall is an enhancement to the Internet Connection Firewall, providing greater security and configuration options. [BUILD 2]The firewall is not turned on by default unless the installation of SP1 invokes Post Setup Security Updates. It is possible to configure and turn on the firewall during installation via scripts or to have Group Policy configure it immediately the server joins a domain. </SLIDESCRIPT> <SLIDETRANSITION>Let's have a look at how Windows Firewall works.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION>

<SLIDETITLE>Windows Firewall</SLIDETITLE> <KEYWORDS>Windows Firewall</KEYWORDS> <KEYMESSAGE>Explain how Windows Firewall works.</KEYMESSAGE> <SLIDEBUILDS>8</SLIDEBUILDS> <SLIDESCRIPT> [BUILD 1]Windows Firewall is a software based, stateful firewall. [BUILD 2]When enabled, the firewall will protect the server by preventing remote unsolicited, incoming communication. [BUILD 3]To enable communication with the server the firewall can be configured with a static port exception. This defines the port number and the protocol; TCP, UDP or both. [BUILD 4]When the port exception is configured communication with the server is allowed via that port. [BUILD 5]Alternatively we can specify an application executable. This dynamically opens ports as the application requires and prevents you having to create multiple static port exceptions. [BUILD 6]Communication with the application running on the server can then take place through the firewall. [BUILD 7]When port or application exceptions are created they can be configured to only apply to a specific computer, subnet or collection of computers. [BUILD 8]This prevents the exception being used by all computers. </SLIDESCRIPT> <SLIDETRANSITION>You will now identify some of the features of Windows Firewall</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION> Port 80 App.exe

Seguridad durante el proceso de Arranque. Configuración Global para todos los adaptadores de Red o específica a cada uno Se puede configurar para no permitir ninguna excepción Múltiples perfiles para entornos móviles. <SLIDETITLE>Windows Firewall</SLIDETITLE> <KEYWORDS>Windows Firewall</KEYWORDS> <KEYMESSAGE>Explain some of the features of Windows Firewall</KEYMESSAGE> <SLIDEBUILDS>4</SLIDEBUILDS> <SLIDESCRIPT> [BUILD 1]Windows Firewall provides security during the server boot process. The server is allowed to perform basic network tasks such as DNS, DHCP or communicate with a domain controller but all other communication is disabled until the server is started and the firewall policy is loaded. [BUILD 2]We can configure a global policy for the firewall that will affect all network interface cards in the server. Alternatively you can create different policies for each interface. [BUILD 3]The firewall can be configured to permit no exceptions. If this is enabled any configured exceptions do not take effect. [BUILD 4]In mobile environments different policies can be configured. This enables the configuration of the firewall to differ if the computer is connected to a domain or not. </SLIDESCRIPT> <SLIDETRANSITION>Windows Firewall can be configured in a number of ways.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION>

<SLIDETITLE>Windows Firewall</SLIDETITLE> <KEYWORDS>Windows Firewall</KEYWORDS> <KEYMESSAGE>Explain the use of Group Policy.</KEYMESSAGE> <SLIDEBUILDS>0</SLIDEBUILDS> <SLIDESCRIPT> Group Policy has a number of settings for Windows Firewall. Notice the Domain and Standard profiles. Group Policy can be used to automatically configure the firewall for multiple computers. </SLIDESCRIPT> <SLIDETRANSITION>There is of course also the graphical interface.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION>

<SLIDETITLE>Windows Firewall</SLIDETITLE> <KEYWORDS>Windows Firewall</KEYWORDS> <KEYMESSAGE>Explain the use of the graphical interface</KEYMESSAGE> <SLIDEBUILDS>0</SLIDEBUILDS> <SLIDESCRIPT> The graphical interface configures all aspects of Windows Firewall. It has changed in a number of ways from the interface for Internet Configuration Firewall. The interface is accessed from the Windows Firewall icon in Control Panel. </SLIDESCRIPT> <SLIDETRANSITION>You will now see a demonstration of Windows Firewall.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION>

Mejoras en la Seguridad de Red Seguridad RPC
<SLIDETITLE>RPC Security</SLIDETITLE> <KEYWORDS>RPC Security</KEYWORDS> <KEYMESSAGE>Explain RPC Security</KEYMESSAGE> <SLIDEBUILDS>5</SLIDEBUILDS> <SLIDESCRIPT> [BUILD 1]Client\server communications can occur over RPC. [BUILD 2]When a client communicates with a server using RPC it is possible that the connection will succeed without authenticating the client. This can be a potential security issue. [BUILD 3]With SP1 we can now require security for all RPC connections. [BUILD 4]If RPC security is required, a connection that does not provide authentication will be denied. [BUILD 5]But a connection that provides authentication, as long as permissions are assigned, will be allowed. </SLIDESCRIPT> <SLIDETRANSITION>Let's see how RPC security is configured.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION> RPC Sin Autenticar RPC Autenticado

Demo: Windows Firewall

Mejoras en la Seguridad de Red Seguridad RPC
La configuración de Seguridad RPC se configura en la siguiente clave del registro. \\HKLM\SOFTWARE\Policies\Microsoft\Windows NT\RPC\ RestrictRemoteClients EnableAuthEpResolution <SLIDETITLE>RPC Security</SLIDETITLE> <KEYWORDS>RPC Security</KEYWORDS> <KEYMESSAGE>Explain how RPC Security is applied</KEYMESSAGE> <SLIDEBUILDS>2</SLIDEBUILDS> <SLIDESCRIPT> [BUILD 1]There are two new registry keys that control most of the RPC Security available with SP1. [BUILD 2]The RestrictRemoteClients registry key sets the security requirements for RPC interfaces on the server. This can be set using Group Policy. [BUILD 3]The EnableAuthEpResolution registry key is configured on the client and forces the client to send credentials to the server that can be authenticated. Remember that a Windows Server 2003 computer can be the server or client in the RPC process. </SLIDESCRIPT> <SLIDETRANSITION>Let's see a demonstration of RPC Security.</SLIDETRANSITION> <ADDITIONALINFORMATION><ITEM></ITEM></ADDITIONALINFORMATION>

Próximas Acciones 17/09/2005. HOL – Windows Server 2003. IPSec
18/09/2005. Evento – Windows Update Services 20/10/2005. Contramedidas Hacker. 21/10/2005: Gira Seguridad Technet.

Boletín quincenal TechNews

¿ Preguntas ?

Contactos Informática 64 Profesor http://www.informatica64.com
Profesor

Windows Server SP1. Fortificación de Servidores

Presentaciones similares

Presentación del tema: "Windows Server SP1. Fortificación de Servidores"— Transcripción de la presentación:

Presentaciones similares

Sobre el proyecto

Feedback

Iniciar la sesión

Autorizarse a través de una red social:

Windows Server SP1. Fortificación de Servidores

Presentaciones similares

Presentación del tema: "Windows Server SP1. Fortificación de Servidores"— Transcripción de la presentación:

Presentaciones similares

Sobre el proyecto

Feedback