La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Security On Site I Chema Alonso MVP Windows Server Security Informática 64

Presentaciones similares


Presentación del tema: "Security On Site I Chema Alonso MVP Windows Server Security Informática 64"— Transcripción de la presentación:

1

2 Security On Site I Chema Alonso MVP Windows Server Security Informática 64

3 Agenda Principios de Seguridad Ataques a Sistemas Actualizaciones de Seguridad Seguridad en Servidores Seguridad en Clientes

4 Principios de Seguridad

5 Seguridad La seguridad depende de 3 factores: Procesos: Procedimientos y operaciones en nuestros entornos Personas Poca formación Tecnología: Estándares (TCP/IP) Productos de los fabricantes (IIS,Apache) Desarrollos personales

6 ¿Porque Atacan? Motivos Personales Desquitarse Fundamentos políticos o terrorismo Gastar una broma Lucirse y presumir Motivos Financieros Robar información Chantaje Fraudes Financieros Hacer Daño Alterar, dañar or borrar información Denegar servicio Dañar la imagen pública

7 Impacto de los Ataques Pérdida de Beneficios Deterioro de la confianza de los inversores Daños en la reputación Datos comprometidos Interrupción de los procesos de Negocio Daños en la confianza de los clientes Consecuencias legales (LOPD/LSSI)

8 Bug Un error de software o computer bug, que significa bicho de computadora, es el resultado de una falla de programación introducida en el proceso de creación de programas de computadora. El término bug fue acreditado erróneamente a Grace Murray Hopper, una pionera en la historia de la computación, pero Thomas Edison ya lo empleaba en sus trabajos para describir defectos en sistemas mecánicos por el año 1870.programaciónprogramas de computadoraGrace Murray Hoppercomputación Thomas Edison1870 Fuente: Wikipedia en Español

9 Exploit Exploit (viene de to exploit - aprovechar) - código escrito con el fin de aprovechar un error de programación para obtener diversos privilegios. software. software Un buen número de exploits tienen su origen en un conjunto de fallos similares. Algunos de los grupos de vulnerabilidades más conocidos son: Vulnerabilidades de desbordamiento de pila o buffer overflow.buffer overflow Vulnerabilidades de condición de carrera (Race condition).condición de carrera Vulnerabilidades de error de formato de cadena (format string bugs).error de formato Vulnerabilidades de Cross Site Scripting (XSS).Cross Site Scripting (XSS) Vulnerabilidades de inyección SQL (SQL injection).SQL injection Vulnerabilidades de inyeccion de caraceres (CRLF).CRLF Fuente: Wikipedia en Español

10 Payload In computer virus jargon, the payload of a virus or worm is any action it is programmed to take other than merely spreading itself. The term is used for all intended functions, whether they actually work or not.computer virusworm Fuente: Wikipedia

11 Software Seguro El software Fiable es aquel que hace lo que se supone que debe hacer. El software Seguro es aquel que hace lo que se supone que debe hacer, y nada mas. Son los sorprendentes algo mas los que producen inseguridad. Para estar seguro, debes de ejecutar solo software perfecto :-) O, hacer algo para mitigar ese algo mas

12 Código y poder El código fuente es poder Tanto para defenderse como para atacar Compartir el código es compartir el poder. Con los atacantes y defensores Publicar el código fuente sin hacer nada más degrada la seguridad Por el contrario, publicar el código fuente permite a los defensores y a otros elevar la seguridad al nivel que les convenga.

13 Proceso explotación Vulnerabilidad 1.- Se descubre una vulnerabilidad a) Por el fabricante b) Por un tercero 2.- Se aprende a explotarlo a) Ingeniería inversa de Código b) Ingeniería inversa de Patch 3.- Se usa un Payload para automatizar

14 SlammerBugBearSlapperRamenKlezScalperNimdaCodeRedBlaster Lion Win32 Linux/Unix Nombre del Virus Número de dias transcurridos entre la publicación del update de seguridad y el impacto del virus

15 Vulnerabilidades

16 Sofisticación de los Ataques vs. Conocimientos requeridos

17 Ataques a Sistemas

18 Ataque: Envenenamiento ARP

19 Técnicas de Spoofing Las técnicas spoofing tienen como objetivo suplantar validadores estáticos Un validador estático es un medio de autenticación que permanece invariable antes, durante y después de la concesión.

20 Niveles Afectados SERVICIO RED Dirección IP ENLACE Dirección MAC Nombres de dominio Direcciones de correo electrónico Nombres de recursos compartidos

21 Tipos de técnicas de Spoofing Spoofing ARP Envenenamiento de conexiones. Man in the Middle. Spoofing IP Rip Spoofing. Hijacking. Spoofing SMTP Spoofing DNS WebSpoofing.

22 Ataque ARP M an I n T he M iddle ¿Quien tiene ? esta en 99:88:77:66:55: esta en 00:11:22:33:44:55: esta en 99:88:77:66:55:4 4

23 Protección contra Envenenamiento Medidas preventivas. Cifrado de comunicaciones. IPSec. Cifrado a nivel de Aplicación: S/MIME. SSL. Certificado de comunicaciones.

24 Medidas reactivas. Utilización de detectores de Sniffers. Utilizan test de funcionamiento anómalo. Test ICMP. Test DNS. Test ARP. Sistemas de Detección de Intrusos Protección contra Envenenamiento

25 Frase vs. Passwords

26 Ataque: SQL – Injection

27 Explotación del Ataque Aplicaciones con mala comprobación de datos de entrada. Datos de usuario. Formularios Text Password Textarea List multilist Datos de llamadas a procedimientos. Links Funciones Scripts Actions Datos de usuario utilizados en consultas a base de datos. Mala construcción de consultas a bases de datos.

28 Riesgos Permiten al atacante: Saltar restricciones de acceso. Elevación de privilegios. Extracción de información de la Base de Datos Parada de SGBDR. Ejecución de comandos en contexto usuario bd dentro del servidor.

29 Tipos de Ataques Ejemplo 1: Autenticación de usuario contra base de datos. Select idusuario from tabla_usuarios Where nombre_usuario=$usuario And clave=$clave; Usuario Clave ****************

30 Tipos de Ataques Ejemplo 1 (cont) Select idusuario from tabla_usuarios Where nombre_usuario=Administrador And clave= or 1=1; Usuario Clave Administrador or 1=1

31 Tipos de Ataques Ejemplo 2: Acceso a información con procedimientos de listado. Ó

32 Tipos de Ataques Ejemplo 2 (cont): union select nombre, clave,1,1,1 from tabla_usuarios; otra instrucción; xp_cmdshell(del c:\boot.ini); shutdown -- Ó union select.....; otra instrucción; --

33 Contramedidas No confianza en medias de protección en cliente. Comprobación de datos de entrada. Construcción segura de sentencias SQL. Fortificación de Servidor Web. Códigos de error. Restricción de verbos, longitudes, etc.. Filtrado de contenido HTTP en Firewall. Fortificación de SGBD. Restricción de privilegios de motor/usuario de acceso desde web. Aislamiento de bases de datos.

34 Ataque: Cross-Site Scripting (XSS)

35 Explotación del Ataque Datos almacenados en servidor desde cliente. Datos van a ser visualizados por otros cliente/usuario. Datos no filtrados. No comprobación de que sean dañinos al cliente que visualiza.

36 Riesgos Ejecución de código en contexto de usuario que visualiza datos. Navegación dirigida Webspoofing Spyware Robo de credenciales Ejecución de acciones automáticas Defacement

37 Tipos de Ataques Mensajes en Foros. Firma de libro de visitas. Contactos a través de web. Correo Web. En todos ellos se envían códigos Script dañinos.

38 Contramedidas Fortificación de aplicación Comprobación fiable de datos Fortificación de Clientes Ejecución de clientes en entorno menos privilegiado. Fortificación de navegador cliente. MBSA. Políticas.

39 Ataque: Troyanos Hay un amigo en mi

40 Definición Programa que se ejecuta sobre nuestra máquina y cuyo control no depende de nosotros. Los Hackers lo llaman Boyfriend. Mil formas, mil colores, mil objetivos.

41 Obtención de Privilegios El programa corre sobre nuestra máquina. Corre con una identificación de usuario del sistema. Debe obtener privilegios para poder ejecutarse. ¿Cómo los obtiene?

42 Obtención de Privilegios Fallo en la cadena: Procesos: Sistema no cerrado. Tecnología: Fallo en sw de sistema operativo Fallo en sw ejecución de códigos. Personas: Ingeniería Social: ¡Que lindo programita! Navegación privilegiada

43 Objetivos Control remoto: Instalan suites de gestión del sistema. Robo de información Modificación del sistema: Phishing Creación de usuarios Planificación de tareas....

44 Instalación del Troyano Se suele acompañar de un caballo para tranquilizar a la víctima. Se añaden a otro software. EJ: Whackamole Joiners, Binders Incluidos en documentos que ejecutan código: Word, excel, swf,.class, pdf, html, etc...

45 Instalación del Troyano Simulando ser otro programa P2P, HTTP Servers Paquetes Zip autodescomprimibles Programas con fallo de.dll Instaladores de otro SW

46 Troyanos Comerciales Su difusión es extrema. Se han hecho famosos debido a su extensión. Suelen ser utilizados por principiantes Casi todos los sistemas Anti-Malware son capaces de detectarlos. Aún así siguen siendo útiles porque mutan.

47 Algunos Back Orifice NetBus NetDevil SubSeven Ptakks......

48 Detección de Troyanos Anti-Mallware Antivirus AntiSpyware Comportamiento anómalo del sistema Configuraciones nuevas Cambio en páginas de navegación Puertos....

49 Prevención contra Troyanos Defensa en Profundidad Mínimo Privilegio Posible Mínimo punto de exposición Gestión de updates de seguridad Antivirus/AntiSpyware Ejecución controlada de programas Navegación segura

50 Ataque: RootKits Los Otros

51 Definición Software malintencionado que tiene total control de la maquina infectada y es TOTALMENTE INVISIBLE, tanto para para los usuarios de la maquina como para todo el software que se ejecuta en ella.

52 ¿Que es un RootKit? Originalmente – Fichero Troyano con una puerta trasera Cambia ficheros, ejmp., netstat.exe Pueden ser detectados con herramientas tipo Tripwire Hoy en día – La mayoría de los RootKits tienen componentes en modo Kernel Trastornan el TCB Trusted Computer Based Ocultan cosas Otras capacidades Difíciles de detectar y eliminar Premisa: El atacante lo puede instalar de manera directa o indirecta.

53 Breve Historia. A principios de los años 90s, los RootKits aparecen por primera vez en el mundo Unix Al final de los 90s, Greg Hoglund y su equipo los introducen por primera vez en los entornos Windows. La creación y la detección de los RootKits continua evolucionando Modo Usuario -> Modo Kernel -> flash RAM Nuevas técnicas en cada nivel

54 ¿Que puede hacer? Esconder: A si mismo + algo que el intruso quiera. Procesos Ficheros y su contenido Claves y valores del registro Drivers en modo Kernel Puertos Sniffing – Trafico de Red, Log de pulsaciones de teclado Elevación de Privilegios - Modificación de los testigos de acceso (access token) Cualquier cosa que un driver o el Sistema Operativo pueda hacer…

55 NTDLL.DLL NtQuerySystemInformation PSAPI.DLL EnumProcesses Aplicación (Ejem., taskmgr, tlist) NTOSKRNL.EXE MODO-USUARIO MODO-KERNEL Código Malicioso RootKit Interceptación de APIs a nivel de Usuario

56 NTDLL.DLL NtQuerySystemInformation PSAPI.DLL EnumProcesses Aplicación (Ejem., taskmgr, tlist) NTOSKRNL.EXE Código Malicioso RootKit Interceptación de APIs a nivel del Núcleo KERNEL MODO-USUARIO MODO-KERNEL

57 Hacker Defender Es el RootKit mas extendido en los sistemas Windows. Ficha: Autores: Holy_Father Ratter/29A Version: Home Page: Programación: Delphi SO: NT, 2000, XP

58 Objetivo Reescribir algunos segmentos de memoria en todos los procesos que se ejecuten en una máquina para: Esconderse a si mismo y esconder: Ficheros Procesos Servicios de sistema Drivers de sistema Claves y valores del registro Puertos abiertos Engañar con el espacio libre en disco. Enmascarar los cambios que realiza en memoria. Instalar una puerta trasera con tecnología de redirector Soporta Procesos Root

59 Configuración I Se configura mediante un fichero INI que tiene los siguientes campos: [Hidden Table]: Listado de directorios ficheros y procesos que deben ser ocultados [Root Processes]: Procesos que no serán infectados por el RootKit. [Hidden Services]: Servicios que no se listarán [Hidden RegKeys]: Claves del registro ocultas [Hidden RegValues]: Valores del registro ocultos.

60 Configuración II [Startup Run]: Ejecutables que se ejecutan cada vez que se inicia el RootKit. [Free Space]: Espacio que se añade a cada disco duro. [Hidden Ports]: Puertos abiertos que han de ser ocultados de aplicaciones tipo OpPorts, FPort, Active Ports, Tcp View etc… [Settings]: 8 valores para configurar diferentes cosas.

61 Detección Lo mejor es no tener que detectarlos, pues no es tarea fácil. Para ello hay que evitar que entren en nuestra máquina: Actualizar los parches del sistema Utilizar antivirus Utilizar firewalls Utilizar Sistemas Operativos modernos Si entran y somos capaces de detectarlos, la única solución fiable es formatear.

62 Detección Lo mas fácil es detectarlo antes de que se instale. (Antivirus, antispyware, etc…) Si ya esta instalado se puede detectar de tres maneras: Casualidad. Cuelgues de la máquina Software AntiRootKit Tripwire. RootkitRevealer de Sysinternals Blacklight de F-Secure Las principales estrategias para poder detectarlos son: Detectar la presencia del propio RootKit. Detectar los recursos que esconden. Hacer de su virtud, su principal debilidad.

63 En Modo - Usuario: Puenteando las intercepciones a las llamadas de la API (escribiendo tus propias API) Detectarlos en modo Kernel En modo – Kernel Examinar directamente la estructura de datos en modo Kernel sin hacer llamadas a las APIs Verificación de KiServiceTable Verificación de las firmas de las funciones que están en memoria. Ambos se pueden detectar. Herramientas de Debugging: Técnicas de Detección

64 Futuro - Presente Rootkits de BIOS programados con ACPI presentados en BlackHat Conference Enero 2006 Rootkits de BBDD presentados en Microsoft BlueHat Conference 2006 Rootkits VM presentados por Microsoft Research y Universidad Michigan Marzo 2006.

65 Actualizaciones de Seguridad

66 T impacto T riesgo Terminología y Consideraciones acerca de las actualizaciones de Seguridad

67 Herramientas de Monitorización y Auditoria El objetivo es dejar un Servidor en Día-0. Zero Day Server es aquel que tiene todo el software que corre en su sistema actualizado y no tiene ningún bug conocido. Es el máximo nivel de seguridad que se puede alcanzar con el software que corre en un sistema. Existen Zero Day Exploits Auditorias de seguridad No son las únicas que deben hacerse Se deben realizar de forma automática y de forma manual [artesana]. Con la visión de un atacante y con la visión del administrador.

68 Auditoría Caja Negra Se realiza desde fuera Ofrece la visión de un hacker No puede ser ejecutada desde dentro Falsos positivos No garantiza Servidor Seguro No todos los escáner ofrecen los mismos resultados. SSS, Nessus, GFI Languard, Retina, ISS Real Secure, etc …

69 Scanners de Vulnerabilidades Satan, Saint, Sara Shadow Security Scanner GFI Languard Network Security Scanner Retina Nessus NetBrute, R3X

70 Auditoría Caja Blanca Se realiza internamente Con privilegios y visualización completa del sistema Se utilizan herramientas proporcionadas por el fabricante o propias MBSA EXBPA MOM 2005 ….

71 Actualizaciones en Microsoft Security Patch Critical Update Update Hotfix Update Roll-Up Service Pack

72 Niveles de Severidad TechNet Security Bulletin Search: RatingDefinition Critical Exploitation could allow the propagation of an Internet worm such as Code Red or Nimda without user action Important Exploitation could result in compromise of the confidentiality, integrity, or availability of users data or of the integrity or availability of processing resources Moderate Exploitation serious but mitigated to a significant degree by factors such as default configuration, auditing, need for user action, or difficulty of exploitation LowExploitation is extremely difficult, or impact is minimal

73 Gestión de Actualizaciones

74 MBSA Ayuda a identificar sistemas Windows vulnerables. Escanea buscando actualizaciones no aplicadas y fallos en la configuración del software. Escanea distintas versiones de Windows y distintas aplicaciones. Escanea en local o múltiples máquinas en remoto vía GUI o línea de comandos. Genera informes XML sobre los resultados de cada equipo. Corre en Windows Server 2003, Windows 2000 y Windows XP Se integra con SMS 2003 SP1, con SUS y WSUS

75 MBSA

76 EXBPA Examina un despliegue de Exchange Server y determina si esta configurado siguiendo las recomendaciones de Microsoft. Genera una lista de puntos, como configuraciones mejorables, u opciones no recomendadas o soportadas. Juzga la salud general del sistema. Ayuda a resolver los problemas encontrados. Busca también Actualizaciones de Seguridad que falten.

77 EXBPA

78 Herramientas para la Gestión de Actualizaciones Usuario Final y Pequeña Empresa: Microsoft Update Pequeña y Mediana Empresa: Windows Software Update Services Mediana Empresa y Corporaciones: SMS and the SMS Software Update Services Feature Pack

79 Productos de Terceros Compa ñí a ProductoURL Altiris, Inc.Altiris Patch Managementhttp://www.altiris.com BigFix, Inc.BigFix Patch Managerhttp://www.bigfix.com Configuresoft, Inc.Security Update Managerhttp://www.configuresoft.com Ecora, Inc.Ecora Patch Managerhttp://www.ecora.com GFI Software, Ltd.GFI LANguard Network Security Scannerhttp://www.gfi.com Gravity Storm Software, LLCService Pack Manager 2000http://www.securitybastion.com LANDesk Software, LtdLANDesk Patch Managerhttp://www.landesk.com Novadigm, Inc.Radia Patch Managerhttp://www.novadigm.com PatchLink Corp.PatchLink Updatehttp://www.patchlink.com Shavlik TechnologiesHFNetChk Prohttp://www.shavlik.com St. Bernard SoftwareUpdateExperthttp://www.stbernard.com

80 Fortificación de Servidores

81 Fortificación Consiste en la aplicación de tres principios: Defensa en Profundidad (DP): Máximo número de medidas de protección que se puedan aplicar siempre que: Una medida no anule a otra No haya deterioro en la disponibilidad del sistema Mínimo Punto de Exposición (MPE): Un servidor solo ejecutar aquello que es estrictamente necesario para su rol Mínimo Privilegio Posible (MPP): Cada componente del sistema se ejecuta con el menor de los privilegios necesarios. Se puede automatizar en función del rol

82 Plantillas de seguridad Definen los valores necesarios para las directivas de seguridad de los servidores en función de su rol y su entorno. Se pueden aplicar de forma local o a través del dominio. Afectan a los siguientes componentes: Guía de Seguridad en Windows Server 2003 Cuentas de usuario. Auditorías. Derechos de usuarios. Opciones de seguridad. Visor de sucesos. Grupos restringidos. Servicios. Claves de registro. Sistema de ficheros.

83 Herramientas

84 Análisis y configuración

85 Resultante de políticas. Sistema complementario de los anteriores que evalúa no solo plantillas de seguridad sino GPO. Presenta dos herramientas: RSoP. Herramienta gráfica. GPRESULT. Línea de Comando. GPMC

86 Seguridad en Servidores: Windows 2003 SP1

87 Mejoras en la seguridad del Sistema Post Setup Security Updates Protección del Servidor durante el periodo en el que se instala el Servidor y la instalación de las últimas actualizaciones. Windows Firewall esta activado por defecto si explícitamente no se configura de otra manera durante la instalación.

88 Mejoras en la Seguridad del Sistema Post Setup Security Updates

89 Se invoca después de: Actualización de Windows NT4 a Windows Server 2003 SP1 Instalación combinada de Windows Server 2003 y SP1 NO invocada después de: Actualización desde Windows 2000 a Windows Server 2003 SP1 Actualización desde Windows Server 2003 a SP1

90 Mejoras en la Seguridad del Sistema Data Execution Prevention Se configura en el Boot.ini /noexecute=PolicyLevel OptIn – Se habilita el Software DEP. El Hardware DEP solo se activa para aplicaciones que se configuran específicamente. OptOut – Se activan tanto el Software DEP como el Hardware DEP. Solo se deshabilitan para aplicaciones especificadlas en al lista de excepciones. AlwaysOn – El Software DEP y el Hardware DEP siempre están habilitadas. Cualquier excepción es ignorada. AlwaysOff – El Software DEP y el Hardware DEP están deshabilitadas.

91 Mejoras en la Seguridad del Sistema Security Configuration Wizard Identifica puertos abiertos El asistente se debe de ejecutar con las aplicaciones requeridas y los servicios arrancados. Selecciona el role del servidor de la base de datos de configuración. Configura los servicios requeridos. Configura los puertos para el Firewall de Windows Configura la seguridad para LDAP y SMB Configura una política de auditoria Configura los parámetros específicos de los roles que tiene el servidor.

92 Mejoras en la Seguridad del Sistema Security Configuration Wizard La configuración se salva en un fichero XML. Se aplica por el asistente Se puede aplicar una política de seguridad existente a otro equipo. Se puede aplicar desde la línea de comando. scwcmd.exe configure /p:webserverpolicy.xml Se puede usar en scripts Sripts de instalación desatendida

93 Security Configuration Wizard

94 Seguridad en Clientes

95 Bests Practices Fortificación estación de Trabajo Windows XP Service Pack 2 Guía de fortificación de estaciones de Windows XP (http://www.microsoft.com/spain/technet)http://www.microsoft.com/spain/technet Utilización de Firewall Navegación restringida Uso de Antivirus/Antispyware Formación del usuario

96 Malicious Software Removal Tool Objetivos Reducir el Impacto del malware en usuarios Windows Entender las tendencias del malware Distribución Windows Update Centro de Descargas Sitio Web Reporte disponible públicamente g=es&FamilyID=47DDCFA9-645D EDA- 92CDE33E99A9 g=es&FamilyID=47DDCFA9-645D EDA- 92CDE33E99A9

97 Actividad de MSRT 2.7 billones de ejecuciones 270 millones de equipos

98 Resultados MSRT 16 millones de infecciones 5.7 millones de equipos infectados 1 infección cada 311

99 Reducción del Impacto

100 Entender las tendencias Troyanos de puerta trasera son la amenaza mas significante y mas creciente Los Rootkits son una amenaza emergente Ingeniería Social 35%

101 Como ayuda Vista Contra el Malware.. PrevenciónAislamientoRemedios

102 Prevención Vulnerabilidad de Software Ciclo de desarrollo seguroCiclo de desarrollo seguro Actualizaciones AutomáticasActualizaciones Automáticas Windows Firewall/IPSecWindows Firewall/IPSec Data Execution ProtectionData Execution Protection Address Space Layout RandomizationAddress Space Layout Randomization Amenaza Tecnología en Vista Ingeniería Social User Account ControlUser Account Control Windows DefenderWindows Defender Vulnerabilidad de la Política Contraseña de Administrador en BlancoContraseña de Administrador en Blanco Firma de drivers en 64 bitFirma de drivers en 64 bit Política de Firewall por RedPolítica de Firewall por Red

103 Aislamiento Amenaza Tecnología en Vista Comportamiento del Sistema Integridad de Sistemas de 64-bit Recursos del Sistema Fortificación de Servicios Firewall Bidireccional IE Protected Mode Configuración del Sistema User Account Control Windows Defender

104 Remedios Amenaza Tecnología en Vista Estado de la Seguridad Centro de Seguridad de Windows Limpieza de Spyware Windows Defender Limpieza de Virus Windows Malicious Software Removal Tool

105 Mejoras en la Seguridad del Sistema Data Execution Prevention Forzada por el hardware y el software Hardware DEP Requiere que el procesador lo soporte o implemente El procesador marca áreas de la memoria como No Ejecutable excepto si específicamente contiene código ejecutable. Puede causar problemas de compatibilidad. Software DEP Funcionalidad en cualquier procesador que soporte Windows Server 2003 Protege los binarios del sistema de ataques relacionados con el manejo de las excepciones del sistema. Es raro que cause problemas de compatibilidad.

106 Stack Return Address Locals Protección de la Memoria Data Execution Protection Address Space Layout Randomization DEP Previous Frames Parameters Code Application Code Library Code Windows Code LoadLibrary() ASLR

107 Integridad de Sistemas de 64 bit Application CreateFile() Kernel32.dll CreateFileW() ntdll.dll ZwCreateFile() Interrupt Dispatch Table 2E System Service Dispatch Table NtCreateFile() Interrupt Dispatch Table Global Descriptor Table System Service Dispatch Table

108 Cambio fundamental en la operativa de Windows Hace que el sistema funcione bien como un usuario estándar Proporciona un método seguro para ejecutar aplicaciones en un contexto elevado Requiere marcar las aplicaciones que no sean UAC Deja claro las acciones que tienen un impacto en todo el equipo Virtualización del registro y ficheros para proporcionar compatibilidad. Escrituras en el registro de la maquina son redirigidas a localizaciones de usuario si el usuario no tiene privilegios administrativos Efectivamente: cuentas estándar pueden ejecutar aplicaciones que necesitan cuentas de administración de manera segura.

109 Protección de cuentas Usuario UAC (User Account Control) Nos ayuda a implementar el principio de menor privilegio de dos maneras distintas: 1. El usuario no necesita tener privilegios administrativos para realizar ciertas tareas para las que se necesitas esos privilegios – En cambio: Se le pregunta al usuario por credenciales con mas privilegios 2. Aunque el usuario tenga privilegios superiores( Ejem. un administrador), se le pregunta al usuario por su consentimiento antes de que esos derechos sean ejercitados No se necesita volver a proporcionar las credenciales, solo se necesita el consentimiento Leer: ww.microsoft.com/technet/windowsvista/evaluate/feat/uaprot.msp x ww.microsoft.com/technet/windowsvista/evaluate/feat/uaprot.msp x ww.microsoft.com/technet/windowsvista/evaluate/feat/uaprot.msp x

110 Internet Explorer 7 Además de ser compatible con UAC, incluirá: Modo Protegido que solo permite a IE navegar sin mas permisos, aunque el usuario los tenga. Ejem. Instalar software Modo de Solo-lectura, excepto para los ficheros temporales de Internet cuando el navegador esta en Zona de seguridad de Internet Filtro contra Phising que actualiza Microsoft cada poco tiempo y usa una red global de fuentes de datos ActiveX Opt-in, da al usuario el control de los controles Activex Todos los datos de cache se eliminan con un solo click

111 MIC & UIPI Mandatory Integrity Control (MIC). Una aplicación no puede acceder a datos que tengan un Nivel de integridad superior al suyo. Niveles de Integridad: Bajo, Medo, Alto y de Sistema Los objetos con ACL tienen una nueva entrada ACE donde se les asigna un nivel de Integridad A cada proceso se le asigna un Nivel de Integridad en su testigo de acceso User Interfacer Privilege Isolation (UIPI) Bloquea el acceso de procesos con Nivel de Integridad inferior a procesos con Nivel de Integridad superior.

112 Filtro anti-Phishing Protección dinámica contra Webs Fraudulentas Realiza 3 chequeos para proteger al usuario de posibles timos: 1. Compara el Sitio Web con la lista local de sitios legítimos conocidos 2. Escanea el sitio Web para conseguir características comunes a los sitios con Phising 3. Cheque el sitio con el servicio online que tiene Microsoft sobre sitios reportados que se actualiza varias veces cada hora Level 1: Warn Suspicious Website Signaled Level 2: Block Confirmed Phishing Site Signaled and Blocked Dos niveles de Aviso y protección en la barra de estado de IE7

113 Windows Defender MonitorizaciónDetecciónLimpieza Software Explorer SpyNet

114 10 Immutable Laws of Security 1 If an attacker can persuade you to run his program on your computer, it's not your computer anymore. 2 If an attacker can alter the operating system on your computer, it's not your computer anymore. 3 If an attacker has unrestricted physical access to your computer, it's not your computer anymore. 4 If you allow an attacker to upload programs to your website, it's not your website anymore. 5 Weak passwords prevail over strong security. 6 A machine is only as secure as the administrator is trustworthy. 7 Encrypted data is only as secure as the decryption key. 8 An out-of-date virus scanner is only marginally better than no virus scanner at all. 9 Absolute anonymity isn't practical, in real life or on the Web. 10 Technology is not a panacea.

115 ¿ Preguntas ?

116 Web MVPs

117 TechNews Suscripción gratuita enviando un mail:

118 Grupos Reducidos de 10 a 15 asistentes. Cada asistente tiene un escenario virtualizado para ejecución de laboratorios. Un técnico por grupo imparte explicaciones teóricas y plantea y resuelve las practicas con los asistentes al mismo tiempo que resuelve dudas. 6 horas de duración cada uno y 24 horas los seminarios de Contramedidas Hacker. Sistemas Desarrollo

119 Contacto Chema Alonso king


Descargar ppt "Security On Site I Chema Alonso MVP Windows Server Security Informática 64"

Presentaciones similares


Anuncios Google