La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

{Seguridad} José Parada GimenoChema Alonso ITPro EvangelistMVP Windows Security Microsoft CorporationInformática64.

Presentaciones similares


Presentación del tema: "{Seguridad} José Parada GimenoChema Alonso ITPro EvangelistMVP Windows Security Microsoft CorporationInformática64."— Transcripción de la presentación:

1

2 {Seguridad} José Parada GimenoChema Alonso ITPro EvangelistMVP Windows Security Microsoft CorporationInformática64

3 Mejoras en la seguridad del Sistema Operativo Protección del sistema Offline (Bitlocker) Arranque seguro (Bitlocker) Integridad en el código del SO Fortificación de los servicios Control sobre las Cuentas de Usuario (UAC) Control sobre la instalación de dispositivos removibles Mejoras de Seguridad en Red TSGateway, NAP, VPN SSL Windows Firewall con Seguridad Avanzada e IPSec Mejoras en la seguridad del Dominio (DA) Auditoria de los servicios de Directorio Activo Controlador de Dominio de Solo-Lectura (RODC) Enterprise PKI SQL Server 2008

4 Conjunto de funcionalidades que nos proporcionan: Protección cuando el sistema esta Offline mediante el cifrado completo del contenido de los Discos Duros Protección durante el Arranque del Hardware (Imprescindible TPM) Si sólo quiero utilizar el Cifrado del Disco duro y no tengo TPM, necesito una BIOS que soporte arranque desde dispositivos USB. ** El chip TPM valida la integridad del arranque de la máquina y proporciona la gestión de claves.

5 BDE cifra y firma todo el contenido del Disco Duro Por lo tanto Cualquier modificación de los datos, no autorizada realizada off-line es descubierta y el acceso es denegado Nos previene de ataques que utilizan herramientas que acceden al disco duro cuando Windows no se esta ejecutando. Protección contra el robo de datos cuando se pierde o te roban el equipo Útil para el reciclado seguro de equipos

6 CRTM PCR PCR = Platform Configuration Register CRTM=Core Root of Trust Measurement

7 DATA 1 Volume Meta-Data (Existen tres copias redundantes) FVEK 2 VMK 3 TPM 4 ¿Donde esta la clave de cifrado? 1.Los datos de cifran con la FVEK 2.La FVEK se cifra con la VMK (Volume Master Key) y se almacena en los metadatos del volumen. 3.La VMK es cifrada por uno o mas protectores de la clave, y se almacena en los metadatos del volumen. 4.El Trusted Platform Module no descifrará la VMK si la integridad del sistema falla. (Full-Volume Encryption Key)

8 DATA 1 FVEK 2 VMK 3 TPM 4 TPM+USB TPM+PIN Llave USB (Recuperación o no-TPM Recovery Password (48 Digitos) ¿Donde esta la clave de cifrado? 1.Los datos de cifran con la FVEK 2.La FVEK se cifra con la VMK (Volume Master Key) y se almacena en los metadatos del volumen. 3.La VMK es cifrada por uno o mas protectores de la clave, y se almacena en los metadatos del volumen. 4.El Trusted Platform Module no descifrará la VMK si la integridad del sistema falla.

9 Cifrado/descifrado a nivel de Base de Datos utilizando Database Encryption Key (DEK) DEK es cifrada mediante: Service Master Key EKM DEK debe ser descifrada para poder realizar operaciones como attach de bases de datos o recuperación de backups. SQL Server 2008 DEK Client Application Encrypted data page

10 Predida o robo de un equipo que contiene una base de datos con información importante. Copia de ficheros de una Base de Datos con un objetivo malicioso. Un usuario equivocado consigue las cintas de backups correspondientes a una Base de Datos. Sin la clave necesario o HSM para descifrar la DEK, la base de datos no puede ser utilizada.

11 Almacenamiento de claves de cifrado y gestión realizada por dispositivos externos (Hardware Security Module, o HSM) Cifrado/Descifrado realizado sobre los HSM. Nuevo interfaz SQL External Key Management (SQLEKM) para el controlador (driver). SQL EKM Driver

12 Valida la integridad del proceso de Arranque Chequea el Kernel, la HAL y los drivers del inicio. Si la validación falla, la imagen no se carga. Valida la integridad de la imagen de cada binario Implementado como un driver de filtro de sistema Chequea el hash de cada página según se carga Chequea cualquier imagen que se carga contra un proceso protegido Los Hashes se almacena en el catalogo de sistema o en un certificado X.509 embebido en el fichero

13 No confundir la validación de hashes con las firmas x64Todo el código del kernel ha de estar firmado o no se cargara Los drivers de terceros deben de estar certificados por la WHQL- o tener un certificado de una CA de Microsoft Sin ninguna excepción. Punto Binarios en modo Usuario no necesitan firma salvo que: Implementen funciones de cifrado Se carguen dentro del servicio de licencias de software x32El firmado solo aplica a los drivers incorporados con el Windows Se puede controlar por políticas que hacer con los de terceros. Codigo Kernel sin firmar se cargará Binarios en modo usuario – igual que en x64

14 { Catalogo del Sistema} { Firma de Drivers}

15 Stack Return Address Locals DEP Previous Frames Parameters Code Application Code Library Code Windows Code LoadLibrary() ASLR

16 Los Servicios de Windows fueron una gran superficie de ataque debido a sus privilegios y a que estaban siempre activos. Mejoras: Se ejecutan en laSesión0, mientras que la GUI de usuario y las aplicaciones lo hacen en Sesion1 SID (per-service Security Identifier) reconocidos en ACLs (Access Control Lists), para que los servicios puedan proteger sus recursos Política de Firewall que prohíben el acceso de red por servicio, sujeto a ACLs y SIDs Descomposición de los privilegios innecesarios por servicio Cambio de LocalSystem a LocalService o NetworkService cuando es posible Uso de testigos con restricciones de escritura para los procesos de los servicios

17 Hace que el sistema funcione bien como un usuario estándar Proporciona un método seguro para ejecutar aplicaciones en un contexto elevado Requiere marcar las aplicaciones que no sean UAP Deja claro las acciones que tienen un impacto en todo el equipo Virtualización del registro y ficheros para proporcionar compatibilidad. Escrituras en el registro de la maquina son redirigidas a localizaciones de usuario si el usuario no tiene privilegios administrativos Efectivamente: cuentas estándar pueden ejecutar aplicaciones que necesitan cuentas de administración de manera segura.

18 { Control Cuentas de Usuario}

19 Habilidad para bloquear la instalación de cualquier nuevo dispositivo Se puede desplegar un servidor y no permitir que se instalen nuevos dispositivos Establecer excepciones basadas en ID o clase de dispositivo Permite que se añadan teclados y ratones pero nada mas Permite IDs específicos Configurable vía Políticas de Grupo Establecido a nivel de Equipo.

20 { Control Instalación dispositivos USB}

21 Validación de Políticas: Determina si los equipos cumplen con la política de seguridad de la organización. A los que cumplen se les estima como Saludables. Restricciones de Red: Restringe el acceso a la red a los equipos en función de su salud. Remediación: Provee las actualizaciones necesarias para permitir que un equipo se vuelva saludable. Una vez que esto ocurre, se le quitan las restricciones de red. Cumplimiento sobre la marcha: Los cambios en la política de seguridad de la organización o en la salud de los equipos pueden provocar restricciones de red.

22 No Cumple la Política 1 Red Restringida El cliente solicita acceso a la red y presenta su estado de salud actual 1 4 Si no cumple la política el cliente solo tiene acceso a una VLAN restringida donde hay recursos para solucionar sus problemas, descargar actualizaciones, firmas(Repetir 1-4) 2 DHCP, VPN o Switch/Router envía el estado de salud al Servidor de Políticas de Red (RADIUS) 5 Si cumple la política al cliente se le permite el acceso total a la red corporativa MSFT NPS 3 Servidor de Políticas Cumple la Política 3 El Servidor de Políticas (NPS) valida contra la política de salud definida por IT 2 Cliente Windows DHCP, VPN Switch/Router Fix Up Servers e.g. Patch Red Corporativa 5 4

23 ForzadoCliente SaludableCliente no Saludable DHCP Configuración IP completa. Acceso Total Conjunto de rutas restringido VPN (Microsoft and 3 rd Party) Acceso TotalVLAN Restringida 802.1XAcceso TotalVLAN Restringida IPsec Puede comunicar con cualquier nodo en que confie Nodos saludables rechazan la conexión de sistemas no Saludables Complementa la protección a nivel 2 Funciona con la infraestructura existente Aislamiento Flexible

24 Solicitando Acceso. Mi estado de salud MS NPS Cliente Switch802.1X Servidores de Remediación ¿Puedo acceder? Aquí esta mi estado de Salud ¿Debe este cliente ser restringido basándonos en su estado de salud? Actualización de políticas al servidor NPS Tienes acceso restringido hasta que te actualices ¿Puedo obtener Actualizaciones? Aquí las tienes. Según las políticas, el cliente no esta al día. Poner en cuarentena y solicitar actualización. Red Restringida Se permite el acceso total al Cliente Servidores de Chequeo de Salud Según las políticas, el cliente cumple. Permitir Acceso. Patch Status AV Status

25 Solicitando Acceso. Aquí esta mi nuevo estado de salud MS NPS Cliente Remote Access Gateway Servidores de Remediación ¿Puedo acceder? Aquí esta mi estado de Salud ¿Debe este cliente ser restringido basándonos en su estado de salud? Actualización de políticas al servidor NPS Recurso bloqueado hasta que te actualices ¿Puedo obtener Actualizaciones? Aquí las tienes. Según las políticas, el cliente no esta al día. Poner en cuarentena y solicitar actualización. Se permite el acceso total a los recursos al Cliente Servidores de Chequeo de Salud Según las políticas, el cliente cumple. Permitir Acceso.

26 Accediendo a la REd X Servidor de Remediación NPS HRA ¿Puedo obtener un certificado de Salud? Aqui esta mi estado de Salud ¿Esta el Cliente ok? No. Necesita Actualizarse NO obtienes tu certiificado. Actualizate. Necesito Actualizaciones. Aqui las tienes Aqui tienes el certificado de Salud SI. Emite el certificado de Salud Cliente Sin Política Autenticación Opcional Autenticación Requerida

27 { Configuración NAP} Name Title Group

28 Planificación de Requerimientos Definir la política de salud requerida Definir los métodos de forzado requeridos Planificar la arquitectura NAP Planificar las excepciones Definir roles y responsabilidades Fases del despliegue Pruebas en Laboratorio Piloto Modo de Reporte Forzado diferido Forzado

29 NPS Policy Server (RADIUS) Quarantine Server (QS) Cliente Agente de Quarentena QA Política de SaludActualizaciones Estado de Salud Solicitud Acceso a la Red Servidores de Salud Servidor de Remedios Health Certificate 802.1x Switches Policy Firewalls SSL VPN Gateways Certificate Servers (SHA) MS SHA, SMS System Health Validator (EC) (DHCP, IPsec, 802.1X, VPN) Cliente SHA – Agente de salud chequea la salud del sistema QA – Coordina SHA/EC EC – Método de Forzado Servidor de Remedios Proporciona parches, firmas AV, etc… Network Policy Server QS – evalua la salud del cliente SHV – evalua la respuesta SHA System Health Server Proporciona SHV (SHA) 3 rd Parties (EC) 3 rd Party EAP VPNs

30 SSTP= Secure Socket Tunneling Protocol Una nuevo tunel VPN que permite pasar trafico por firewalls y proxy que bloquean trafico PPTP y L2TP/IPsec. Un mecanismo para encapsular trafico PPP por el canal SSL del protocolo HTTPS. Al usar trafico HTTPS el trafico va por el puerto 443. Solo soportado por Windows 2008 y Windows Vista Service Pack 1

31 El servidor necesita un certificado. El cliente necesita consultar la CLR para saber si el certificado del servidor esta al día y por tanto la CRL debe de estar publicado y accesible para el cliente. Si se cambia el certificado en el servidor SSTP hay que realizar el cambio mediante el comando netsh.

32 VPN SSL Comprobación Cliente Política Applicaión Ubicación

33

34 SQL Server 2005 Posibilidad de usar Kerberos solo con conexiones TCP/IP SPN deben registrarse en el AD SQL Server 2008 Posibilidad de usar Kerberos con todos los protocolos SPN puede ser especificado en la cadena de conexión (OLEDB/ODBC) Posibilidad de utilizar Kerberos sin tener el SPN registrado en el AD

35 { VPN SSL} Name Title Group

36 Guía paso a paso W2K8 d=518D870C-FA3E-4F6A-97F5- ACAF31DE6DCE&displaylang=en Librería Técnica ry/61d24255-dad1-4fd2-b4a3- a91a22973def1033.mspx?mfr=true Foro de Seguridad W2K8 orumID=581&SiteID=17

37 TechCenter de Windows Server ult.mspx Próximos webcasts en vivo Webcasts grabados sobre Windows Server ?id=1 Webcasts grabados otras tecnologías Microsoft Foros técnicos

38 Chema Alonoso Microsoft MVP Windows Security


Descargar ppt "{Seguridad} José Parada GimenoChema Alonso ITPro EvangelistMVP Windows Security Microsoft CorporationInformática64."

Presentaciones similares


Anuncios Google