La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Microsoft Windows en el proceso de certificación. Seguridad en Microsoft Windows Server 2003 Santiago Núñez Consultor Técnico Microsoft.

Presentaciones similares


Presentación del tema: "Microsoft Windows en el proceso de certificación. Seguridad en Microsoft Windows Server 2003 Santiago Núñez Consultor Técnico Microsoft."— Transcripción de la presentación:

1 Microsoft Windows en el proceso de certificación. Seguridad en Microsoft Windows Server 2003 Santiago Núñez Consultor Técnico Microsoft

2 Confidencialidad: garantizar que sólo los usuarios y aplicaciones autorizados acceden a la información Confidencialidad: garantizar que sólo los usuarios y aplicaciones autorizados acceden a la información Integridad: asegurar que la información no ha sido modificada Integridad: asegurar que la información no ha sido modificada Disponibilidad: garantizar que la información está accesible a usuarios y aplicaciones Disponibilidad: garantizar que la información está accesible a usuarios y aplicaciones Principios de Seguridad Integridad Confidencialidad Disponibilidad

3 Parámetros de seguridad Situación actual Tecnología Procesos Gente + -

4 Agenda Diferenciar el servidor por su función y su entorno Diferenciar el servidor por su función y su entorno Aseguramiento en entornos confiados Aseguramiento en entornos confiados Asegurar un Controlador de Dominio Asegurar un Controlador de Dominio Asegurar un Servidor de Infraestructura Asegurar un Servidor de Infraestructura Asegurar un Servidor de Ficheros Asegurar un Servidor de Ficheros Asegurar un Servidor de Aplicaciones IIS Asegurar un Servidor de Aplicaciones IIS Aseguramiento en entornos no confiados Aseguramiento en entornos no confiados Bastionado Bastionado Asegurar un Servidor de Aplicaciones IIS Asegurar un Servidor de Aplicaciones IIS Asegurar un Servidor de Autenticación IAS Asegurar un Servidor de Autenticación IAS

5 Servidores con diversas funciones Amenaza interna o accidental Recursos limitados para implementar soluciones seguras Carencia de experiencia en seguridad Utilización de sistemas antiguos Consecuencias legales El acceso físico anula muchos procedimientos de seguridad Seguridad de los servidores Situación actual

6 La complejidad es enemiga de la seguridad La complejidad es enemiga de la seguridad

7 Seguridad de los servidores Primeros pasos Diferenciar los servidores: Diferenciar los servidores: Valor o criticidad de los datos o aplicaciones Valor o criticidad de los datos o aplicaciones Nivel de exposición Nivel de exposición Rol o función Rol o función Y entonces: Y entonces: Priorizar los recursos destinados Priorizar los recursos destinados Aplicar distintas políticas según el rol y el nivel de exposición Aplicar distintas políticas según el rol y el nivel de exposición

8 Diferenciar servidores Según su criticidad La criticidad de un servidor la puede determinar: La criticidad de un servidor la puede determinar: Los datos que contiene el servidor: cuentas de usuarios, información financiera, datos sensibles Los datos que contiene el servidor: cuentas de usuarios, información financiera, datos sensibles El servicio que ofrece El servicio que ofrece El nivel de servicio necesario (SLA) El nivel de servicio necesario (SLA) Una infraestructura debe aislar los sistemas más críticos Una infraestructura debe aislar los sistemas más críticos La seguridad de un sistema crítico no debe depender de la seguridad de otro de menor criticidad La seguridad de un sistema crítico no debe depender de la seguridad de otro de menor criticidad

9 Diferenciar servidores Según su ubicación La ubicación puede determinar el nivel de exposición a distintos atacantes La ubicación puede determinar el nivel de exposición a distintos atacantes Zona interna de confianza Zona interna de confianza Zona de acceso remoto Zona de acceso remoto Zona perimetral Zona perimetral Las políticas de seguridad pueden variar según la exposición Las políticas de seguridad pueden variar según la exposición

10 Diferenciar servidores Según su funcionalidad Cada servidor tendrá una serie de funcionalidades lícitas Cada servidor tendrá una serie de funcionalidades lícitas Controladores de dominio Controladores de dominio Servidores de infraestructura: DHCP, WINS Servidores de infraestructura: DHCP, WINS Servidores de archivos Servidores de archivos Servidores de impresión Servidores de impresión Servidores de aplicación IIS Servidores de aplicación IIS Servidores de autenticación IAS Servidores de autenticación IAS Servidores de certificación Servidores de certificación Servidores bastiones Servidores bastiones Pueden aparecer otros roles Pueden aparecer otros roles Hacer que cada servidor sea un representante único de su rol, dificulta la gestión. Hacer que cada servidor sea un representante único de su rol, dificulta la gestión.

11 Cada capa establece sus defensas: Cada capa establece sus defensas: Datos y Recursos: ACLs, Cifrado Datos y Recursos: ACLs, Cifrado Defensas de Aplicación: Validación de las entradas, Antivirus Defensas de Aplicación: Validación de las entradas, Antivirus Defensas de Host: Asegurar el SO, aplicar revisiones y SP, Auditoria Defensas de Host: Asegurar el SO, aplicar revisiones y SP, Auditoria Defensas de red: Segmentación, VLAN ACLs, IPSec Defensas de red: Segmentación, VLAN ACLs, IPSec Defensas de perímetro: Filrado de paquetes, IDS, Cuarentena en VPN Defensas de perímetro: Filrado de paquetes, IDS, Cuarentena en VPN Datos y Recursos Defensas de Aplicación Defensas de Host Defensas de Red Defensas de Perímetro Estrategia de Defensa en Profundidad

12 Cada capa asume que la capa anterior ha fallado: Cada capa asume que la capa anterior ha fallado: Medidas redundantes Medidas redundantes Seguridad Física Seguridad Física Todo bajo la dirección de la política de seguridad de la empresa Todo bajo la dirección de la política de seguridad de la empresa Basada en capas: Basada en capas: Aumenta la posibilidad de que se detecten los intrusos Aumenta la posibilidad de que se detecten los intrusos Disminuye la oportunidad de que los intrusos logren su propósito Disminuye la oportunidad de que los intrusos logren su propósito Directivas, procedimientos, formación y concienciación Seguridad física Datos y Recursos Defensas de Aplicación Defensas de Host Defensas de Red Defensas de Perímetro Asume fallo de la capa anterior Estrategia de Defensa en Profundidad

13 Seguridad de Servidor Prácticas Básicas Aplicar Service Packs Aplicar Service Packs Aplicar las Revisiones de Seguridad Aplicar las Revisiones de Seguridad Subscribirse a los boletines de seguridad Subscribirse a los boletines de seguridad TechNet Security Day I TechNet Security Day I

14 Agenda Diferenciar el servidor por su función y su entorno Diferenciar el servidor por su función y su entorno Aseguramiento en entornos confiados Aseguramiento en entornos confiados Asegurar un Controlador de Dominio Asegurar un Controlador de Dominio Asegurar un Servidor de Infraestructura Asegurar un Servidor de Infraestructura Asegurar un Servidor de Ficheros Asegurar un Servidor de Ficheros Asegurar un Servidor de Aplicaciones IIS Asegurar un Servidor de Aplicaciones IIS Aseguramiento en entornos no confiados Aseguramiento en entornos no confiados Bastionado Bastionado Asegurar un Servidor de Aplicaciones IIS Asegurar un Servidor de Aplicaciones IIS Asegurar un Servidor de Autenticación IAS Asegurar un Servidor de Autenticación IAS

15 Seguridad en Entornos Confiados Estrategia Asegurar el entorno de Active Directory Asegurar el entorno de Active Directory Crear un diseño teniendo en cuenta las implicaciones de seguridad Crear un diseño teniendo en cuenta las implicaciones de seguridad Revisar el diseño actual Revisar el diseño actual Crear una Línea Base de Seguridad para todos los servidores integrantes Crear una Línea Base de Seguridad para todos los servidores integrantes Mínimo Común de la seguridad Mínimo Común de la seguridad Afinar esa Base para cada uno de los roles específicos Afinar esa Base para cada uno de los roles específicos

16 Active Directory Componentes Bosque Bosque Un bosque funciona como límite de seguridad en Active Directory Un bosque funciona como límite de seguridad en Active Directory Dominio Dominio Facilita la gestión Facilita la gestión Unidad organizativa Unidad organizativa Contenedor de objetos Contenedor de objetos Directivas de grupo Directivas de grupo Herramienta clave para implementar y administrar la seguridad de una red Herramienta clave para implementar y administrar la seguridad de una red

17 Active Directory Consideraciones de diseño Crear un Plan de Seguridad de Active Directory Crear un Plan de Seguridad de Active Directory Establecer claramente los límites de seguridad y administrativos Establecer claramente los límites de seguridad y administrativos Seguridad basada en la infraestructura de dominios Seguridad basada en la infraestructura de dominios Separación de administradores Separación de administradores Gestionar cuidadosamente grupos con elevados privilegios Gestionar cuidadosamente grupos con elevados privilegios Administradores de Empresa (Enterprise Admins) Administradores de Empresa (Enterprise Admins) Administradores de Esquema (Schema Admins) Administradores de Esquema (Schema Admins) Delegar tareas administrativas Delegar tareas administrativas Crear una Estructura de Unidades Organizativas Crear una Estructura de Unidades Organizativas Para delegación de administración. Para delegación de administración. Para la aplicación de directivas de grupo Para la aplicación de directivas de grupo Si ya está desplegado AD, revisar el diseño actual para conocer mejor las posibles vulnerabilidades Si ya está desplegado AD, revisar el diseño actual para conocer mejor las posibles vulnerabilidades

18 Diseño de Active Directory Plan de Seguridad Analizar el entorno Analizar el entorno Centro de datos de intranet Centro de datos de intranet Sucursales Sucursales Centro de datos de extranet Centro de datos de extranet Realizar un análisis de las amenazas Realizar un análisis de las amenazas Identificar las amenazas para Active Directory Identificar las amenazas para Active Directory Identificar los tipos de amenazas Identificar los tipos de amenazas Identificar el origen de las amenazas Identificar el origen de las amenazas Determinar medidas de seguridad para las amenazas Determinar medidas de seguridad para las amenazas Establecer planes de contingencia Establecer planes de contingencia

19 Diseño de Active Directory Recomendaciones de Administración Separación de roles de administración Separación de roles de administración Administradores de servicio Administradores de servicio Encargados de configurar y administrar los distintos servicios de AD Encargados de configurar y administrar los distintos servicios de AD Controlan la replicación y el correcto funcionamiento Controlan la replicación y el correcto funcionamiento Copias de seguridad y restauración de AD Copias de seguridad y restauración de AD Administran los controladores de dominio y servidores de infraestructura Administran los controladores de dominio y servidores de infraestructura Administradores de datos Administradores de datos Administran subconjuntos de objetos de AD: Administran subconjuntos de objetos de AD: Usuarios, grupos, carpetas compartidas Usuarios, grupos, carpetas compartidas Equipos, servidores integrantes y los datos que contienen Equipos, servidores integrantes y los datos que contienen

20 Diseño de Active Directory Autonomía o Aislamiento Autonomía (control no exclusivo) Autonomía (control no exclusivo) Autonomía de servicio Autonomía de servicio Crear un bosque para autonomía de esquema, autoridades de certificación de empresa, etc. Crear un bosque para autonomía de esquema, autoridades de certificación de empresa, etc. Crear un dominio para autonomía de directivas de grupo, políticas de contraseña Crear un dominio para autonomía de directivas de grupo, políticas de contraseña Autonomía de datos Autonomía de datos Crear una OU para delegar control a los administradores de datos Crear una OU para delegar control a los administradores de datos Aislamiento (control exclusivo) Aislamiento (control exclusivo) Aislamiento de servicio Aislamiento de servicio Crear un bosque Crear un bosque Aislamiento de datos Aislamiento de datos Crear una OU para aislar de otros administradores de datos Crear una OU para aislar de otros administradores de datos Crear un bosque para aislar de los administradores de servicio Crear un bosque para aislar de los administradores de servicio

21 Administración Active Directory Recomendaciones generales Delegar los permisos mínimos necesarios para cada rol Delegar los permisos mínimos necesarios para cada rol Utilizar doble cuenta para usuarios administradores Utilizar doble cuenta para usuarios administradores Cuenta de administración (no genérica) Cuenta de administración (no genérica) Cuenta de usuario: acceso al correo, documentar, navegar Cuenta de usuario: acceso al correo, documentar, navegar Utilizar autenticación fuerte para cuentas de administración Utilizar autenticación fuerte para cuentas de administración Autenticación de dos factores: Autenticación de dos factores: Smart Card y PIN Smart Card y PIN

22 Diseño de Active Directory Bosques Separar en otro bosque los servidores de Extranet Separar en otro bosque los servidores de Extranet Crear otro bosque para aislar administradores de servicios Crear otro bosque para aislar administradores de servicios Bosques y dominios Bosques y dominios Bosque = Límite real de seguridad Bosque = Límite real de seguridad Dominio = Límite de gestión para administradores con buen comportamiento Dominio = Límite de gestión para administradores con buen comportamiento Múltiples bosques Bosque Trust

23 Diseño de Active Directory Jerarquía de Unidades Organizativas Una jerarquía de unidades organizativas basada en funciones de servidor: Una jerarquía de unidades organizativas basada en funciones de servidor: Simplifica la administración de la seguridad Simplifica la administración de la seguridad Aplica la configuración de directivas de seguridad a los servidores y a otros objetos en cada unidad organizativa Aplica la configuración de directivas de seguridad a los servidores y a otros objetos en cada unidad organizativa Directiva de dominio Dominio Diseño de dominios Directiva de línea de base de servidor integrante Servidores integrantes Controladores de dominio Directiva de controladores de dominio Directiva de servidores de impresión Directiva de servidores de archivos Directiva de servidores IIS Servidores de impresión Servidores de archivos Servidores Web Administrador de operaciones Administrador de servicios Web

24 Directiva de Grupo de Dominio Fortalecimiento de la configuración Revisar y modificar la Directiva por defecto Revisar y modificar la Directiva por defecto Es posible que no se adecue a las políticas de la empresa Es posible que no se adecue a las políticas de la empresa Para modificarla existen dos estrategias: Para modificarla existen dos estrategias: Modificar la Directiva por defecto Modificar la Directiva por defecto Crear una Directiva Incremental Crear una Directiva Incremental Políticas de cuentas para los usuarios del dominio Políticas de cuentas para los usuarios del dominio Caducidad y Complejidad de Contraseñas Caducidad y Complejidad de Contraseñas Bloqueo y Desbloqueo de cuentas Bloqueo y Desbloqueo de cuentas

25 Demostración Delegación de administración y aplicación de una plantilla de seguridad Delegación del control a un grupo administrativo Aplicación de la plantilla de seguridad de dominio

26 Refuerzo de Seguridad Proceso Configuración de seguridad de línea de base para todos los servidores integrantes Configuración de seguridad de línea de base para todos los servidores integrantes Opciones de configuración adicionales para servidores con funciones específicas Opciones de configuración adicionales para servidores con funciones específicas Utilizar GPResult para verificar la aplicación Utilizar GPResult para verificar la aplicación Servidores de infraestructuras Servidores de archivos Servidores IIS Autoridades de Certificación Hosts bastiones Seguridad Active Directory Directiva de línea de base de servidores integrantes Servidores RADIUS Procedimientos de refuerzo de la seguridad Configuración de seguridad incremental basada en funciones

27 Línea Base de Seguridad Recomendaciones Se aplicará a todos los servidores integrantes Se aplicará a todos los servidores integrantes No a los controladores de dominio No a los controladores de dominio Opciones de la plantilla: Opciones de la plantilla: Directiva de auditoria Directiva de auditoria Inicio y fin de sesión, cambios en la política Inicio y fin de sesión, cambios en la política Asignación de derechos de usuario Asignación de derechos de usuario Permitir inicio de sesión local en los servidores Permitir inicio de sesión local en los servidores Opciones de seguridad Opciones de seguridad Nombres de cuentas de administrador y de invitado Nombres de cuentas de administrador y de invitado Acceso a la unidad de CD-ROM y de disquete Acceso a la unidad de CD-ROM y de disquete Los mensajes de inicio de sesión Los mensajes de inicio de sesión Registro de sucesos Registro de sucesos Tamaño Tamaño Servicios del sistema Servicios del sistema Comportamiento de inicio Comportamiento de inicio

28 Línea Base de Seguridad Recomendaciones No aplicar directamente las plantillas: No aplicar directamente las plantillas: Revisar detalladamente todas las opciones Revisar detalladamente todas las opciones Probar los cambios en entorno de laboratorio antes de implementarlos en producción Probar los cambios en entorno de laboratorio antes de implementarlos en producción

29 Línea Base de Seguridad Posibles cambios Para evitar operaciones remotas de los administradores de servicio Para evitar operaciones remotas de los administradores de servicio Utilizar la política Denegar inicio de sesión desde red Utilizar la política Denegar inicio de sesión desde red Cuidado con las opciones del registro de sucesos cuando se llena Cuidado con las opciones del registro de sucesos cuando se llena Denegación de servicio si se llena el registro de seguridad Denegación de servicio si se llena el registro de seguridad Compatibilidad con sistemas anteriores, hace rebajar el nivel de seguridad: Compatibilidad con sistemas anteriores, hace rebajar el nivel de seguridad: Firmar digitalmente las comunicaciones (siempre) (SMB) Firmar digitalmente las comunicaciones (siempre) (SMB) No permitir enumeraciones anónimas de cuentas No permitir enumeraciones anónimas de cuentas No almacenar el valor de hash de Lan Manager No almacenar el valor de hash de Lan Manager Nivel de Autenticación de Lan Manager Nivel de Autenticación de Lan Manager

30 Línea Base de Seguridad Otras opciones Asegurar la pila TCP/IP Asegurar la pila TCP/IP Prevenir ataques DoS Prevenir ataques DoS Deshabilitar la generación automática de nombres 8.3 en NTFS Deshabilitar la generación automática de nombres 8.3 en NTFS Deshabilitar la opción de ejecución automática de CD-ROMs (Autorun) Deshabilitar la opción de ejecución automática de CD-ROMs (Autorun) Orden de búsqueda de DLLs Orden de búsqueda de DLLs

31 Agenda Diferenciar el servidor por su función y su entorno Diferenciar el servidor por su función y su entorno Aseguramiento en entornos confiados Aseguramiento en entornos confiados Asegurar un Controlador de Dominio Asegurar un Controlador de Dominio Asegurar un Servidor de Infraestructura Asegurar un Servidor de Infraestructura Asegurar un Servidor de Ficheros Asegurar un Servidor de Ficheros Asegurar un Servidor de Aplicaciones IIS Asegurar un Servidor de Aplicaciones IIS Aseguramiento en entornos no confiados Aseguramiento en entornos no confiados Bastionado Bastionado Asegurar un Servidor de Aplicaciones IIS Asegurar un Servidor de Aplicaciones IIS Asegurar un Servidor de Autenticación IAS Asegurar un Servidor de Autenticación IAS

32 Asegurar un Controlador de Dominio Son los servidores más importantes de la infraestructura Son los servidores más importantes de la infraestructura Poseen la información de todos los objetos del Active Directory Poseen la información de todos los objetos del Active Directory La seguridad física es importante La seguridad física es importante Ubicados en salas con control de acceso Ubicados en salas con control de acceso Las copias de seguridad poseen también información crítica Las copias de seguridad poseen también información crítica Se deben almacenar en entornos con control de acceso Se deben almacenar en entornos con control de acceso Proceso de Instalación: Proceso de Instalación: En ubicaciones controladas En ubicaciones controladas Bajo la supervisión de administradores Bajo la supervisión de administradores Utilizando procedimientos automatizados Utilizando procedimientos automatizados

33 Controladores de dominio Plantilla de seguridad La mayoría de las directivas coincidirán con la Línea Base de Seguridad La mayoría de las directivas coincidirán con la Línea Base de Seguridad Mayores restricciones en los derechos de usuarios Mayores restricciones en los derechos de usuarios Inicio de sesión interactiva: Sólo administradores Inicio de sesión interactiva: Sólo administradores Inicio de sesión por TS: Sólo administradores Inicio de sesión por TS: Sólo administradores Restauración: Sólo administradores Restauración: Sólo administradores Cambiar la hora del sistema: Sólo administradores Cambiar la hora del sistema: Sólo administradores Configuración servicios específicos: Configuración servicios específicos: DFS DFS DNS DNS NTFRS NTFRS KDC KDC

34 Controladores de Dominio Medidas de Seguridad Adicionales Reubicar los directorios de la base de datos y logs de Active Directory Reubicar los directorios de la base de datos y logs de Active Directory Incrementar el tamaño de los registros de eventos Incrementar el tamaño de los registros de eventos Asegurar el servicio DNS Asegurar el servicio DNS Utilizar actualizaciones dinámicas seguras Utilizar actualizaciones dinámicas seguras Limitar las transferencias de zonas Limitar las transferencias de zonas Bloquear puertos con IPSec Bloquear puertos con IPSec

35 Agenda Diferenciar el servidor por su función y su entorno Diferenciar el servidor por su función y su entorno Aseguramiento en entornos confiados Aseguramiento en entornos confiados Asegurar un Controlador de Dominio Asegurar un Controlador de Dominio Asegurar un Servidor de Infraestructura Asegurar un Servidor de Infraestructura Asegurar un Servidor de Ficheros Asegurar un Servidor de Ficheros Asegurar un Servidor de Aplicaciones IIS Asegurar un Servidor de Aplicaciones IIS Aseguramiento en entornos no confiados Aseguramiento en entornos no confiados Bastionado Bastionado Asegurar un Servidor de Aplicaciones IIS Asegurar un Servidor de Aplicaciones IIS Asegurar un Servidor de Autenticación IAS Asegurar un Servidor de Autenticación IAS

36 Servidores DHCP y WINS Servidores DHCP y WINS Se utilizará una plantilla de seguridad incremental específica para Servidor de infraestructuras Se utilizará una plantilla de seguridad incremental específica para Servidor de infraestructuras Se configurarán manualmente las opciones adicionales Se configurarán manualmente las opciones adicionales Asegurar un Servidor de Infraestructura

37 Servidor de Infraestructura Plantilla de seguridad Heredará las directivas de la Línea Base de Seguridad Heredará las directivas de la Línea Base de Seguridad Modificará los Servicios para incluir: Modificará los Servicios para incluir: Inicio y seguridad de los servicios DHCP y WINS Inicio y seguridad de los servicios DHCP y WINS

38 Servidor de Infraestructura Configuraciones adicionales Es recomendable establecer las siguientes configuraciones adicionales: Es recomendable establecer las siguientes configuraciones adicionales: Configuración de registro (log) de DHCP Configuración de registro (log) de DHCP Protección frente a DoS (80/20) Protección frente a DoS (80/20) Evitar perdida de servicio Evitar perdida de servicio Usar cuentas de servicio: Usar cuentas de servicio: No privilegiadas No privilegiadas Cuentas locales Cuentas locales Protección de cuentas locales: Protección de cuentas locales: Administrador Administrador Invitado Invitado Permitir tráfico sólo a puertos autorizados mediante filtros IPSec Permitir tráfico sólo a puertos autorizados mediante filtros IPSec

39 Agenda Diferenciar el servidor por su función y su entorno Diferenciar el servidor por su función y su entorno Aseguramiento en entornos confiados Aseguramiento en entornos confiados Asegurar un Controlador de Dominio Asegurar un Controlador de Dominio Asegurar un Servidor de Infraestructura Asegurar un Servidor de Infraestructura Asegurar un Servidor de Ficheros Asegurar un Servidor de Ficheros Asegurar un Servidor de Aplicaciones IIS Asegurar un Servidor de Aplicaciones IIS Aseguramiento en entornos no confiados Aseguramiento en entornos no confiados Bastionado Bastionado Asegurar un Servidor de Aplicaciones IIS Asegurar un Servidor de Aplicaciones IIS Asegurar un Servidor de Autenticación IAS Asegurar un Servidor de Autenticación IAS

40 Balanceo entre seguridad y facilidad de uso Balanceo entre seguridad y facilidad de uso Basados en SMB o CIFS: Basados en SMB o CIFS: Utilizan NetBIOS Utilizan NetBIOS Proporcionar información a usuarios no autenticados Proporcionar información a usuarios no autenticados Asegurar un Servidor de Archivos

41 Servidor de Archivos Plantilla de seguridad Heredará las directivas de la Línea Base de Seguridad Heredará las directivas de la Línea Base de Seguridad Deshabilitar DFS y NTFRS si no son necesarios Deshabilitar DFS y NTFRS si no son necesarios DFS: Sistema distribuidos de ficheros DFS: Sistema distribuidos de ficheros NTFRS: Replicación de ficheros NTFRS: Replicación de ficheros

42 Servidor de Archivos Configuraciones adicionales Utilizar ACLs para controlar el acceso: Utilizar ACLs para controlar el acceso: Sobre archivos y carpetas compartidos mediante NTFS Sobre archivos y carpetas compartidos mediante NTFS Sobre los recursos compartidos Sobre los recursos compartidos Evitar: Todos/Control Total Evitar: Todos/Control Total Uso de auditoria sobre archivos importantes: Uso de auditoria sobre archivos importantes: Perjudica el rendimiento Perjudica el rendimiento Asegurar cuentas conocidas: Asegurar cuentas conocidas: Invitado Invitado Administrador Administrador Filtrado de tráfico mediante IPSec para permitir sólo puertos específicos Filtrado de tráfico mediante IPSec para permitir sólo puertos específicos

43 Agenda Diferenciar el servidor por su función y su entorno Diferenciar el servidor por su función y su entorno Aseguramiento en entornos confiados Aseguramiento en entornos confiados Asegurar un Controlador de Dominio Asegurar un Controlador de Dominio Asegurar un Servidor de Infraestructura Asegurar un Servidor de Infraestructura Asegurar un Servidor de Ficheros Asegurar un Servidor de Ficheros Asegurar un Servidor de Aplicaciones IIS Asegurar un Servidor de Aplicaciones IIS Aseguramiento en entornos no confiados Aseguramiento en entornos no confiados Bastionado Bastionado Asegurar un Servidor de Aplicaciones IIS Asegurar un Servidor de Aplicaciones IIS Asegurar un Servidor de Autenticación IAS Asegurar un Servidor de Autenticación IAS

44 Se debe proteger cada servidor IIS y cada aplicación Se debe proteger cada servidor IIS y cada aplicación Se utilizará una plantilla incremental Se utilizará una plantilla incremental Asegurar un Servidor de Aplicaciones IIS

45 Servidor de Aplicaciones IIS Plantilla de seguridad Aplica las directivas de la Línea Base de Seguridad Aplica las directivas de la Línea Base de Seguridad Permisos de usuario: Permisos de usuario: Denegar acceso a este equipo desde la red Denegar acceso a este equipo desde la red Incluir: administrador local, Invitado, etc. Incluir: administrador local, Invitado, etc. Servicios para incluir: Servicios para incluir: HTTP SSL HTTP SSL IIS Admin IIS Admin W3C W3C

46 Servidor de Aplicaciones IIS Configuraciones adicionales Instalar sólo los componentes necesarios Instalar sólo los componentes necesarios Habilitar sólo las extensiones necesarias Habilitar sólo las extensiones necesarias Ubicar el contenido en volúmenes dedicados Ubicar el contenido en volúmenes dedicados Evitar usar el volumen de sistema Evitar usar el volumen de sistema Establecer permisos NTFS Establecer permisos NTFS Establecer permisos IIS sobre los sitios web Establecer permisos IIS sobre los sitios web Evitar permisos de ejecución y escritura en el mismo sitio web Evitar permisos de ejecución y escritura en el mismo sitio web Evitar cuentas de servicio de dominio Evitar cuentas de servicio de dominio Asegurar cuentas conocidas: Asegurar cuentas conocidas: Invitado Invitado Administrador Administrador Filtrado de tráfico mediante IPSec para permitir sólo puertos específicos (80,443) Filtrado de tráfico mediante IPSec para permitir sólo puertos específicos (80,443)

47 Agenda Diferenciar el servidor por su función y su entorno Diferenciar el servidor por su función y su entorno Aseguramiento en entornos confiados Aseguramiento en entornos confiados Asegurar un Controlador de Dominio Asegurar un Controlador de Dominio Asegurar un Servidor de Infraestructura Asegurar un Servidor de Infraestructura Asegurar un Servidor de Ficheros Asegurar un Servidor de Ficheros Asegurar un Servidor de Aplicaciones IIS Asegurar un Servidor de Aplicaciones IIS Aseguramiento en entornos no confiados Aseguramiento en entornos no confiados Bastionado Bastionado Asegurar un Servidor de Aplicaciones IIS Asegurar un Servidor de Aplicaciones IIS Asegurar un Servidor de Autenticación IAS Asegurar un Servidor de Autenticación IAS

48 Entornos no Confiados Acercando los servidores al enemigo Servidores en redes perimetrales Servidores en redes perimetrales Servidores DNS públicos Servidores DNS públicos Servidores de aplicación IIS Servidores de aplicación IIS Servidores de VPN Servidores de VPN Servidores en redes de acceso remoto Servidores en redes de acceso remoto Servidores de autenticación IAS Servidores de autenticación IAS

49 Entornos no Confiados Estrategias Utilizar Servidores Independientes Utilizar Servidores Independientes Cuentas locales Cuentas locales Directivas de seguridad local Directivas de seguridad local Utilizar un bosque dedicado Utilizar un bosque dedicado Permite utilizar cuentas de administración comunes Permite utilizar cuentas de administración comunes Permite aplicar Directivas de Seguridad de Grupo Permite aplicar Directivas de Seguridad de Grupo Se utilizará un bosque separado del bosque interno, para evitar el compromiso de cuentas de usuarios internos Se utilizará un bosque separado del bosque interno, para evitar el compromiso de cuentas de usuarios internos

50 Servidores independientes Aplicación de plantillas de seguridad Plantillas de seguridad para cada servidor o rol Plantillas de seguridad para cada servidor o rol Aplicación local mediante herramientas Aplicación local mediante herramientas Configuración y Análisis de Seguridad Configuración y Análisis de Seguridad Permite la comparación y la aplicación de varias plantillas de seguridad Permite la comparación y la aplicación de varias plantillas de seguridad SecEdit SecEdit Línea de comandos Línea de comandos Permite aplicar plantillas mediante scripts Permite aplicar plantillas mediante scripts

51 Bosque dedicado Aplicación de políticas Bosques independientes Bosques independientes Permite una administración centralizada de la red perimetral Permite una administración centralizada de la red perimetral

52 Agenda Diferenciar el servidor por su función y su entorno Diferenciar el servidor por su función y su entorno Aseguramiento en entornos confiados Aseguramiento en entornos confiados Asegurar un Controlador de Dominio Asegurar un Controlador de Dominio Asegurar un Servidor de Infraestructura Asegurar un Servidor de Infraestructura Asegurar un Servidor de Ficheros Asegurar un Servidor de Ficheros Asegurar un Servidor de Aplicaciones IIS Asegurar un Servidor de Aplicaciones IIS Aseguramiento en entornos no confiados Aseguramiento en entornos no confiados Bastionado Bastionado Asegurar un Servidor de Aplicaciones IIS Asegurar un Servidor de Aplicaciones IIS Asegurar un Servidor de Autenticación IAS Asegurar un Servidor de Autenticación IAS

53 Bastionado Servidores con acceso público Servidores expuestos a ataques externos. Servidores expuestos a ataques externos. Minimizar la superficie de ataque. Minimizar la superficie de ataque. Normalmente uno de los siguientes roles Normalmente uno de los siguientes roles Servidores de Aplicación IIS Servidores de Aplicación IIS Servidores DNS Servidores DNS Servidores SMTP Servidores SMTP Otros servicios de Internet: NNTP, FTP Otros servicios de Internet: NNTP, FTP Servidores Independientes Servidores Independientes Política de seguridad muy restrictiva Política de seguridad muy restrictiva

54 Bastionado Política de seguridad Derechos de usuario Derechos de usuario Permitir el inicio de sesión local Permitir el inicio de sesión local Administradores Administradores Denegar el acceso desde la red a este equipo Denegar el acceso desde la red a este equipo ANONYMOUS LOGON ANONYMOUS LOGON Administrador Administrador Support_388945a0 Support_388945a0 Invitado (* no el grupo Invitados) Invitado (* no el grupo Invitados) El resto de cuentas de servicio que no son del SO El resto de cuentas de servicio que no son del SO

55 Bastionado Política de seguridad Servicios deshabilitados Servicios deshabilitados Todos los de la Línea Base y algunos más: Todos los de la Línea Base y algunos más: Actualizaciones automáticas Actualizaciones automáticas Administrador de acceso remoto Administrador de acceso remoto Cliente DHCP Cliente DHCP Examinador de equipos (Computer Browser) Examinador de equipos (Computer Browser) Proveedor de compatibilidad de seguridad LM con Windows NT Proveedor de compatibilidad de seguridad LM con Windows NT Registro Remoto Registro Remoto Servidor Servidor Servicios de Terminal Services Servicios de Terminal Services TCP/IP NetBIOS Helper Service NetBIOS sobre TCP/IP TCP/IP NetBIOS Helper Service NetBIOS sobre TCP/IP

56 Bastionado Política de seguridad Servicios habilitados Servicios habilitados Sólo los servicios imprescindibles Sólo los servicios imprescindibles Correspondiente al rol SMTP, W3C Correspondiente al rol SMTP, W3C Administrador de cuentas de seguridad Administrador de cuentas de seguridad Inicio de sesión en red (Netlogon) Inicio de sesión en red (Netlogon) Estación de trabajo Estación de trabajo

57 Bastionado Configuraciones adicionales Deshabilitar los protocolos innecesarios Deshabilitar los protocolos innecesarios Cliente para redes Microsoft Cliente para redes Microsoft Compartir impresoras y archivos para redes Microsoft Compartir impresoras y archivos para redes Microsoft NetBIOS sobre TCP/IP NetBIOS sobre TCP/IP Asegurar las cuentas conocidas Asegurar las cuentas conocidas Invitado Invitado Administrador Administrador Bloqueo de puertos mediante IPSec Bloqueo de puertos mediante IPSec

58 Filtros para tráfico permitido y bloqueado Filtros para tráfico permitido y bloqueado No se produce ninguna negociación real de las asociaciones de seguridad de IPSec No se produce ninguna negociación real de las asociaciones de seguridad de IPSec Los filtros se solapan: la coincidencia más específica determina la acción Los filtros se solapan: la coincidencia más específica determina la acción No proporciona filtrado de estado No proporciona filtrado de estado Desde IPA IPProtocolo Puerto de origen Puerto de destino Acción Cualquiera Mi IP de Internet CualquieraN/D Bloquear Cualquiera Mi IP de Internet TCPCualquiera80Permitir Bastionado Filtrado IPSec

59 Demostración Aplicación de la plantilla de seguridad de bastionado Aplicación de la plantilla de seguridad a un servidor independiente

60 Agenda Diferenciar el servidor por su función y su entorno Diferenciar el servidor por su función y su entorno Aseguramiento en entornos confiados Aseguramiento en entornos confiados Asegurar un Controlador de Dominio Asegurar un Controlador de Dominio Asegurar un Servidor de Infraestructura Asegurar un Servidor de Infraestructura Asegurar un Servidor de Ficheros Asegurar un Servidor de Ficheros Asegurar un Servidor de Aplicaciones IIS Asegurar un Servidor de Aplicaciones IIS Aseguramiento en entornos no confiados Aseguramiento en entornos no confiados Bastionado Bastionado Asegurar un Servidor de Aplicaciones IIS Asegurar un Servidor de Aplicaciones IIS Asegurar un Servidor de Autenticación IAS Asegurar un Servidor de Autenticación IAS

61 Servidor de Aplicaciones IIS Reforzar la seguridad Se aplican las recomendaciones anteriores para entornos de confianza Se aplican las recomendaciones anteriores para entornos de confianza Servidores independientes si no se necesitan cuentas de dominio Servidores independientes si no se necesitan cuentas de dominio Bosque separado del interno Bosque separado del interno Utilizar configuraciones avanzadas de IIS 6.0: Utilizar configuraciones avanzadas de IIS 6.0: Aislamiento de aplicaciones Aislamiento de aplicaciones Cuentas con el menor privilegio Cuentas con el menor privilegio

62 Servidor de Aplicaciones IIS Aislamiento de aplicaciones Incrementar la seguridad en servidores IIS compartidos por varias aplicaciones Incrementar la seguridad en servidores IIS compartidos por varias aplicaciones Los usuarios y aplicaciones de un sitio no pueden leer el contenido de otro Los usuarios y aplicaciones de un sitio no pueden leer el contenido de otro Asignar aplicaciones a diferentes grupos de aplicación Asignar aplicaciones a diferentes grupos de aplicación

63 Servidor de Aplicaciones IIS Aislamiento de aplicaciones Asignar identidades únicas: Asignar identidades únicas: A cada grupo de aplicación A cada grupo de aplicación Al usuario anónimo de cada sitio Al usuario anónimo de cada sitio Añadir la identidad de cada grupo de aplicación al grupo IIS_WPG Añadir la identidad de cada grupo de aplicación al grupo IIS_WPG Asignar permisos NTFS para el contenido de cada aplicación Asignar permisos NTFS para el contenido de cada aplicación

64 Agenda Diferenciar el servidor por su función y su entorno Diferenciar el servidor por su función y su entorno Aseguramiento en entornos confiados Aseguramiento en entornos confiados Asegurar un Controlador de Dominio Asegurar un Controlador de Dominio Asegurar un Servidor de Infraestructura Asegurar un Servidor de Infraestructura Asegurar un Servidor de Ficheros Asegurar un Servidor de Ficheros Asegurar un Servidor de Aplicaciones IIS Asegurar un Servidor de Aplicaciones IIS Aseguramiento en entornos no confiados Aseguramiento en entornos no confiados Bastionado Bastionado Asegurar un Servidor de Aplicaciones IIS Asegurar un Servidor de Aplicaciones IIS Asegurar un Servidor de Autenticación IAS Asegurar un Servidor de Autenticación IAS

65 Servidor de Autenticación IAS RADIUS Utilizado para autenticar a los clientes externos Utilizado para autenticar a los clientes externos Acceso remoto Acceso remoto Clientes wireless Clientes wireless Expuestos a ataques externos Expuestos a ataques externos Deshabilitar los elementos innecesarios Deshabilitar los elementos innecesarios

66 Proporcionar guías para: Proporcionar guías para: Usuarios finales Usuarios finales Administradores de Sistemas Administradores de Sistemas Administradores de Seguridad Administradores de Seguridad Estas guías son: Estas guías son: Guías probadas en entornos reales Guías probadas en entornos reales Diseñadas para preocupaciones reales de seguridad Diseñadas para preocupaciones reales de seguridad Apropiadas para situaciones reales Apropiadas para situaciones reales Windows Server 2003 Security Guide Objetivos de diseño

67 Plantillas para tres escenarios: Plantillas para tres escenarios: Legacy templates: predomina la compatibilidad sobre la seguridad Legacy templates: predomina la compatibilidad sobre la seguridad Enterprise templates: apropiadas para la mayoría de los entornos Enterprise templates: apropiadas para la mayoría de los entornos High-security: mayor restricción de seguridad, sin compatibilidad High-security: mayor restricción de seguridad, sin compatibilidad Windows Server 2003 Security Guide Plantillas de seguridad

68 Resumen

69 Asegurar Windows Server 2003 Estrategia Diferenciar los servidores por su criticidad, ubicación y rol. Implementar políticas de seguridad basadas en la guía de recomendacionesWindows Server 2003 Security Guide Estrategia de Defensa en Profundidad.

70 Diseño de Active Directory Estrategia Los Bosques establecen los Límites Reales de Seguridad. Utilizar Unidades Organizativas para Delegar Administración y aplicar Directivas de Grupo Diferenciar los Roles de Administración

71 Servidores en Entornos Confiados Estrategia Establecer Directiva de Grupo de Dominio Afinar con Directivas de Grupo para cada Rol de Servidores Crear una Línea Base de Seguridad Común

72 Servidores en Entornos no Confiados Estrategia Utilizar Servidores Independientes si es posible Utilizar Filtros IPSec para reducir la Superficie de Ataque Aplicar Directivas Locales para cada Servidor

73 Preguntas y respuestas

74 Para obtener más información Sitio de seguridad de Microsoft Sitio de seguridad de Microsoft Sitio de seguridad de TechNet (profesionales de IT) Sitio de seguridad de TechNet (profesionales de IT) ridad/ ridad/ ridad/ ridad/ Sitio de seguridad de MSDN (desarrolladores) Sitio de seguridad de MSDN (desarrolladores)

75 Barcelona 4 Mayo 2004


Descargar ppt "Microsoft Windows en el proceso de certificación. Seguridad en Microsoft Windows Server 2003 Santiago Núñez Consultor Técnico Microsoft."

Presentaciones similares


Anuncios Google