La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Fortificación de equipos Elementos de la seguridad.

Presentaciones similares


Presentación del tema: "Fortificación de equipos Elementos de la seguridad."— Transcripción de la presentación:

1

2

3 Fortificación de equipos

4 Elementos de la seguridad

5 Amenaza Recurso Vulnerabilidad Análisis de riesgos

6 Técnicas de mitigación ¡Alarma! ggrr! Métodos de aseguramiento

7 Agenda Principios básicos –Defensa en profundidad –Mínimo punto de exposición –Menor privilegio posible Proceso de fortificación –Active Directory –Controlador de dominio –Línea base –Servidores y clientes Herramientas –SCE –Security Configuration Wizard

8 Principios a aplicar Defensa en profundidad Mínimo punto de exposición Menor privilegio

9 Cada capa establece sus defensas: –Datos y Recursos: ACLs, Cifrado –Defensas de Aplicación: Validación de las entradas, Antivirus –Defensas de Host: Asegurar el SO, aplicar revisiones y SP, Auditoria –Defensas de red: Segmentación, VLAN ACLs, IPSec –Defensas de perímetro: Filrado de paquetes, IDS, Cuarentena en VPN Datos y Recursos Defensas de Aplicación Defensas de Host Defensas de Red Defensas de Perímetro Estrategia de Defensa en Profundidad

10 Cada capa asume que la capa anterior ha fallado: –Medidas redundantes Seguridad Física Todo bajo la dirección de la política de seguridad de la empresa Basada en capas: –Aumenta la posibilidad de que se detecten los intrusos –Disminuye la oportunidad de que los intrusos logren su propósito Directivas, procedimientos, formación y concienciación Seguridad física Datos y Recursos Defensas de Aplicación Defensas de Host Defensas de Red Defensas de Perímetro Asume fallo de la capa anterior Estrategia de Defensa en Profundidad

11 Mínimo punto de exposición Reducir la superficie de ataque –Instalar sólo los servicios necesarios –Exponer sólo los puertos que ofrezcan servicios Simplificar la infraestructura –Separación de roles: acumular servicios en un mismo servidor aumenta su superficie de ataque

12 Menor privilegio posible Asignar sólo los mínimos permisos necesarios Separación de roles: desarrollo, administración, operación,... –No acumular privilegios La mayoría de los ataques son internos Protege de errores humanos Utilizar Ejecutar como...

13 Menor privilegio posible Cuentas de usuarios Los usuarios DEBEN tener sólo los permisos necesarios para realizar sus tareas habituales –No suele ser necesario Control total del equipo Además facilita el soporte Es importante, revisar las aplicaciones para que no requieran permisos administrativos

14 Menor privilegio posible Cuentas de administración Incluso los administradores no necesitan sus privilegios durante todas sus operaciones Utilización de dos cuentas: –Usuario Normal para tareas cotidianas (correo electrónico, procesamiento de textos, etc.) –Una cuenta distinta con permisos de administración (auditar el uso de esta cuenta) Formar a los administradores para que usen contraseñas complejas. –Más de 15 caracteres. –Las frases son fáciles de recordar (en Windows 2000 y 2003 es posible utilizar espacios) –Smart Cards Uso de grupos locales en servidores individuales, para limitar quién puede administrarlos.

15 Menor privilegio posible Cuentas de servicio Limitar el posible daño en caso de que la cuenta estuviera expuesta a ataques. –Compruebe si se puede usar una cuenta local en lugar de un dominio. Sin embargo, no funcionará para cuentas que deban comunicarse con otros servidores. Por ejemplo, los agentes de SQL suelen necesitar conectividad con otros servidores. –Limite los permisos para la cuenta. Uso de contraseñas complejas Auditar el uso de estas cuentas

16 Agenda Principios básicos –Defensa en profundidad –Mínimo punto de exposición –Menor privilegio posible Proceso de fortificación –Active Directory –Controlador de dominio –Línea base –Servidores y clientes Herramientas –SCE –Security Configuration Wizard

17 Proceso de fortificación Reglas generales Desplegar sistemas protegidos, no ejecutar procesos de fortificación una vez que los sistemas se han desplegado –Es muy difícil, si no se conocen todos los componentes Mantener el proceso lo más simple posible –Facilitar el despliegue (imágenes, scripts,...) –Facilitar el mantenimiento (gestión de actualizaciones, herramientas) –Eliminar los elementos innecesarios Utilizar gestión de cambios (incluyendo imágenes) Monitorizar el entorno Formar a los usuarios –Desarrolladores –Usuarios

18 Metodología de fortificación Red interna Asegurar el entorno de Active Directory –Crear un diseño teniendo en cuenta las implicaciones de seguridad –Revisar el diseño actual Crear una Línea Base de Seguridad –Para servidores y puestos clientes –Mínimo Común de la seguridad Afinar esa Base para cada uno de los roles específicos

19 Refuerzo de Seguridad Proceso Servidores de infraestructuras Servidores de archivos Servidores IIS Autoridades de Certificación Hosts bastiones Active Directory Línea Base Servidores RADIUS Procedimientos de refuerzo de la seguridad Configuración de seguridad incremental basada en roles

20 Active Directory Componentes Bosque –Un bosque funciona como límite de seguridad en Active Directory Dominio –Facilita la gestión Unidad organizativa –Contenedor de objetos Directivas de grupo –Herramienta clave para implementar y administrar la seguridad de una red

21 Active Directory Consideraciones de diseño Crear un Plan de Seguridad de Active Directory Establecer claramente los límites de seguridad y administrativos –Seguridad basada en la infraestructura de dominios –Separación de administradores Gestionar cuidadosamente grupos con elevados privilegios –Administradores de Empresa (Enterprise Admins) –Administradores de Esquema (Schema Admins) Delegar tareas administrativas –Crear una Estructura de Unidades Organizativas Para delegación de administración Para la aplicación de directivas de grupo Si ya está desplegado AD, revisar el diseño actual para conocer mejor las posibles vulnerabilidades

22 Diseño de Active Directory Plan de Seguridad Analizar el entorno –Centro de datos de intranet –Sucursales –Centro de datos de extranet Realizar un análisis de las amenazas –Identificar las amenazas para Active Directory Identificar los tipos de amenazas Identificar el origen de las amenazas –Determinar medidas de seguridad para las amenazas –Establecer planes de contingencia

23 Administración Active Directory Recomendaciones generales Delegar los permisos mínimos necesarios para cada rol Utilizar doble cuenta para usuarios administradores –Cuenta de administración (no genérica) –Cuenta de usuario: acceso al correo, documentar, navegar Utilizar autenticación fuerte para cuentas de administración –Autenticación fuerte (dos factores): Smart Card y PIN

24 Diseño de Active Directory Bosques Separar en otro bosque los servidores de Extranet Crear otro bosque para aislar administradores de servicios Bosques y dominios –Bosque = Límite real de seguridad –Dominio = Límite de gestión para administradores con buen comportamiento

25 Diseño de Active Directory Jerarquía de Unidades Organizativas Una jerarquía de unidades organizativas basada en funciones de servidor: –Simplifica la administración de la seguridad –Aplica la configuración de directivas de seguridad a los servidores y a otros objetos en cada unidad organizativa Directiva de dominio Dominio Diseño de dominios Directiva de línea de base de servidor integrante Servidores integrantes Controladores de dominio Directiva de controladores de dominio Directiva de servidores de impresión Directiva de servidores de archivos Directiva de servidores IIS Servidores de impresión Servidores de archivos Servidores Web Administrador de operaciones Administrador de servicios Web

26 Revisar y modificar la Directiva por defecto –Es posible que no se adecue a las políticas de la empresa –Para modificarla existen dos estrategias: Modificar la Directiva por defecto Crear una Directiva Incremental Establecer elementos comunes a todo el dominio Directivas de cuentas Bloqueo y Desbloqueo de cuentas Directiva de Grupo de Dominio Fortalecimiento de configuración

27 Políticas de cuentas para los usuarios del dominio Caducidad y Complejidad de Contraseñas Bloqueo y Desbloqueo de cuentas Dominio Políticas de Contraseñas Políticas Kerberos Políticas de bloqueo de cuentas Las directivas de cuentas se aplican en el nivel de dominio y afectan a todas las cuentas de dominio Directiva de Grupo de Dominio Directiva de cuentas

28 Controladores de Dominio Son los servidores más importantes de la infraestructura –Poseen la información de todos los objetos del Active Directory La seguridad física es importante –Ubicados en salas con control de acceso Las copias de seguridad poseen también información crítica –Se deben almacenar en entornos con control de acceso Proceso de Instalación: –En ubicaciones controladas –Bajo la supervisión de administradores –Utilizando procedimientos automatizados

29 Controladores de dominio Plantilla de seguridad La mayoría de las directivas coincidirán con la Línea Base de Seguridad Mayores restricciones en los derechos de usuarios –Inicio de sesión interactiva: Sólo administradores –Inicio de sesión por TS: Sólo administradores –Restauración: Sólo administradores –Cambiar la hora del sistema: Sólo administradores Configuración servicios específicos: –DFS –DNS –NTFRS –KDC

30 Controladores de Dominio Medidas de Seguridad Adicionales Reubicar los directorios de la base de datos y logs de Active Directory Incrementar el tamaño de los registros de eventos Asegurar el servicio DNS –Utilizar actualizaciones dinámicas seguras –Limitar las transferencias de zonas Bloquear puertos con IPSec

31 Controladores de Dominio Medidas de Seguridad Adicionales SYSKEY –Protege la SAM de ataques offline –Como contrapartida incrementa los costes operacionales

32 Diseño de Active Directory Directivas de Grupo Para asegurar servidores: –Línea base común –Medidas adicionales para cada rol Dominio Directiva de línea de base de servidor integrante Directiva incremental para cada rol Rol 1 Rol 2 Rol 3 Servidores

33 Para asegurar puestos: –Separar usuarios y equipos –Aplicar las políticas adecuadas a cada OU Departamento Usuarios Windows XP OU Desktop OU Laptop OU Diseño de Active Directory Directivas de Grupo Dominio Departamento N

34 Refuerzo de Seguridad Proceso Servidores de infraestructuras Servidores de archivos Servidores IIS Autoridades de Certificación Hosts bastiones Active Directory Línea Base Servidores RADIUS Procedimientos de refuerzo de la seguridad Configuración de seguridad incremental basada en roles

35 Establecer línea base 8 Recomendaciones básicas 1.Seleccionar aplicaciones de línea base –En toda la empresa: Aplicaciones en todos los escritorios Aplicaciones en todos los servidores –Revisar la seguridad de estas aplicaciones –Gestionar las actualizaciones de seguridad y los Service Pack: Tanto de las aplicaciones como del sistema operativo

36 Establecer línea base 8 Recomendaciones básicas 2.En la línea base del sistema operativo, seleccionar los componentes a incluir –Los mínimos componentes necesarios –No instalar aquellos componentes que no se usen en todos los entornos –Mínimo punto de exposición

37 Establecer línea base 8 Recomendaciones básicas 3.Seleccionar las funciones a activar –Tecnologías disponibles (por ejemplo, Windows Update) –Infraestructuras comunes: PKI

38 Establecer línea base 8 Recomendaciones básicas 4.Crear plantillas de seguridad –Usando las guías de seguridad como base Windows Server 2003 Security Guide Windows XP Security Guide –Incluir valores personalizados –Extender SCE (sceregvl.inf) –Comprobar los problemas conocidos

39 Guías para: –Windows Server 2003 –Windows XP Service Pack 2 –Wireless LAN Security Guide Estas guías son: –Guías probadas en entornos reales –Diseñadas para preocupaciones reales de seguridad –Apropiadas para situaciones reales Microsoft Solutions for Security Guías de referencia

40 Plantillas para tres escenarios: –Legacy templates: predomina la compatibilidad sobre la seguridad –Enterprise templates: apropiadas para la mayoría de los entornos –High-security: mayor restricción de seguridad, sin compatibilidad Windows Server 2003 Security Guide Plantillas de seguridad

41 Windows XP Security Guide Plantillas de seguridad Plantillas para tres escenarios: –Enterprise client: clientes de Active Directory con configuraciones de seguridad apropiadas para la mayoría de empresas –High-security client: funcionalidad reducida, mayor restricción de seguridad –Stand alone client: no pertencen a Active Directory, puestos aislados o dominios NT 4.0

42 Línea Base de Seguridad Recomendaciones No aplicar directamente las plantillas: –Revisar detalladamente todas las opciones –Probar los cambios en entorno de laboratorio antes de implementarlos en producción

43 Línea Base de Seguridad Posibles cambios Para evitar operaciones remotas de los administradores de servicio –Utilizar la política Denegar inicio de sesión desde red Cuidado con las opciones del registro de sucesos cuando se llena –Denegación de servicio si se llena el registro de seguridad Compatibilidad con sistemas anteriores, hace rebajar el nivel de seguridad: –Firmar digitalmente las comunicaciones (siempre) (SMB) –No permitir enumeraciones anónimas de cuentas –No almacenar el valor de hash de Lan Manager –Nivel de Autenticación de Lan Manager

44 Línea Base de Seguridad Otras opciones Asegurar la pila TCP/IP –Prevenir ataques DoS Deshabilitar la generación automática de nombres 8.3 en NTFS Deshabilitar la opción de ejecución automática de CD-ROMs (Autorun) Orden de búsqueda de DLLs

45 Establecer línea base 8 Recomendaciones básicas 5.Añadir bloqueos adicionales –Información extraída de los grupos de productos, las alertas de seguridad, los expertos de seguridad, las mejores prácticas, etc. –Políticas de grupo más allá de las plantillas de seguridad (Internet Explorer, Outlook, etc.) –Servicios (varían según las funciones) –Listas de control de acceso (ACL) –Funciones de servidor (IIS, DC, etc.) –Políticas IPSec

46 Establecer línea base 8 Recomendaciones básicas 6.Automatizar todo el proceso –Incluso aunque se usen imágenes para el despliegue –Las secuencias de comandos son controlables, las respuestas de personas menos. Ejemplos: Archivos de respuestas para el Sistema Operativo Instalaciones silenciosas y no interactivas –Kit de administración de Internet Explorer –Asistente para la instalación personalizada de Office Ficheros INF de plantillas de seguridad Scripts en general: Windows Scripting Host (WSH) y Windows Management Instrumentation (WMI) –Proceso autodocumentado

47 Establecer línea base 8 Recomendaciones básicas 7.Verificar el funcionamiento como usuario Normal (estaciones de trabajo) –La inmensa mayoría de los errores en aplicaciones suceden cuando se inicia sesión como usuario Normal. –Se deben resolver las incompatibilidades antes de la distribución.

48 Establecer línea base 8 Recomendaciones básicas 8.Controlar el acceso de las cuentas de Administrador y Servicio –Siguiendo del principio del menor privilegio

49 Refuerzo de Seguridad Proceso Servidores de infraestructuras Servidores de archivos Servidores IIS Autoridades de Certificación Hosts bastiones Active Directory Línea Base Servidores RADIUS Procedimientos de refuerzo de la seguridad Configuración de seguridad incremental basada en roles

50 Servidores Aseguramiento de roles específicos Se partirá de la configuración de línea base Se utilizará una plantilla de seguridad incremental específica para el rol –Modificando los servicios a usar –Revisando los permisos Se configurarán manualmente las opciones adicionales –Separación de datos y aplicaciones –Dependientes de las aplicaciones del rol –Incluyendo seguridad de las aplicaciones

51 Servidor de Aplicaciones IIS Configuraciones adicionales Instalar sólo los componentes necesarios Habilitar sólo las extensiones necesarias Ubicar el contenido en volúmenes dedicados –Evitar usar el volumen de sistema Establecer permisos NTFS Establecer permisos IIS sobre los sitios web –Evitar permisos de ejecución y escritura en el mismo sitio web Evitar cuentas de servicio de dominio Asegurar cuentas conocidas: –Invitado –Administrador Filtrado de tráfico mediante IPSec para permitir sólo puertos específicos (80,443)

52 La ejecución de código malintencionado supone un riesgo grave para la seguridad Las directivas de restricción de software impiden que los usuarios ejecuten código malintencionado: –Se aplican a archivos ejecutables, contenido activo y secuencias de comandos –Se pueden distribuir con Directiva de grupo Puestos cliente Directiva de restricción de aplicaciones

53 Seleccionar una configuración predeterminada: –Restringida o Permitida Excepciones a la configuración predeterminada: –Reglas hash –Reglas de certificado –Reglas de ruta de acceso –Reglas de zona de Internet Si se aplican varias reglas: – Se aplica la prioridad de reglas Puestos cliente Directiva de restricción de aplicaciones

54 Agenda Principios básicos –Defensa en profundidad –Mínimo punto de exposición –Menor privilegio posible Proceso de fortificación –Active Directory –Controlador de dominio –Línea base –Servidores y clientes Herramientas –SCE –Security Configuration Wizard

55 Herramientas de gestión Plantillas de seguridad Aplicación local mediante herramientas –Plantillas de Seguridad Complemento MMC Permite editar las plantillas de seguridad –Configuración y Análisis de Seguridad Complemento MMC Permite la comparación y la aplicación de varias plantillas de seguridad –SecEdit Línea de comandos Permite aplicar plantillas mediante scripts

56 Plantillas de seguridad Edición de las plantillas Permite –Crear nuevas plantillas –Editar las plantillas existentes Ubicación de las plantillas –Ruta por defecto: %systemroot%\security\templates –Se pueden añadir más rutas

57 Plantillas de seguridad

58 Configuración y Análisis Aplicar plantillas Permite –Analizar el estado actual de un servidor con respecto a una plantilla –Aplicar una plantilla Pasos: –Se crea una base de datos –Se importa la plantilla –Se genera un registro de errores (log) –Se efectúa la operación deseada

59 Configuración y Análisis

60

61 secedit Edición de las plantillas Se utiliza mediante la línea de comandos Se puede incluir en scripts Permite –Analizar –Aplicar –Importar –Exportar

62 Security Configuration Wizard Windows Server 2003 SP1 Facilita la aplicación de políticas de seguridad –Va más allá de las plantillas.inf –Políticas IPSec –Entradas en el registro Se basa en ficheros XML Se puede extender –Incluir aplicaciones propias

63 Security Configuration Wizard Windows Server 2003 SP1 Permite –Crear nuevas políticas de seguridad –Editar las políticas de seguridad existentes –Aplicar políticas de seguridad –Efectuar una vuelta atrás de la última política de seguridad

64 Security Configuration Wizard Windows Server 2003 SP1

65

66 Demostración

67 Resumen

68 Reducir la superficie de exposición Estrategia de Defensa en Profundidad Principios de seguridad Análisis de riesgos de seguridad Mínimo privilegio

69 Partir de una línea base segura Desplegar equipos seguros Fortificación de equipos Revisar el diseño de Active Directory Ajustar la configuración para entornos concretos

70 Los Bosques establecen los Límites Reales de Seguridad. Utilizar Unidades Organizativas para Delegar Administración y aplicar Directivas de Grupo Separación de Roles de Administración Diseño de Active Directory

71 Revisar la guía Windows Server 2003 Security Guide Afinar con Directivas de Grupo para cada Rol de Servidores Crear una Línea Base de Seguridad Común Fortificación de servidores

72 Revisar la guía Windows XP Security Guide Aplicaciones que no requieran permisos administrativos Gestionar las actualizaciones de seguridad Fortificación de clientes

73

74 Gestion de Directivas de Grupo

75 Agenda Procesamiento Planificación Componentes GPMC

76 Group Policy Objects Tecnología presente en sistemas Windows 2000 y posteriores –Evolución de las system policies de NT Permite gestionar centralizadamente clientes Se basa en Active Directory –Construir la infraestructura correcta para la aplicación de GPOs Se pueden usar localmente – incrementa la carga administrativa

77 Directivas de Grupo Procesamiento Site Domino OU GPO1 GPO2 GPO3 GPO4 Políticas locales Políticas Site Políticas Dominio Políticas de OU

78 Directivas de Grupo Procesamiento Arranque equipo Configuración de equipos Scripts de arranque Configuración de equipos Scripts de arranque Refresh Inicio de sesión Configuración de usuario Scripts de logon Configuración de usuario Scripts de logon Refresh

79 Directivas de Grupo Procesamiento Se pueden actualizar bajo petición –gpupdate Filtrado –Utilizando grupos de seguridad –WMI – Windows Server 2003 Bloqueo Modo de procesamiento especial: loopback GPO processing Se pueden delegar permisos sobre GPOs

80 Directivas de Grupo Planificación Las GPOs simplifican la aplicación de directivas de seguridad Utilizar jerarquía –Separar usuarios y equipos –Aplicar las políticas adecuadas a cada OU –Seguir las guías existentes: Windows XP Security Guide Root Domain Departamento Domain Controller Secured Users OU Windows XP OU Desktop OU Laptop OU

81 Directivas de Grupo Componentes Scripts –De inicio y cierre de sesión de usuario –De arranque y apagado de equipos Redirección de carpetas de usuario Instalación de Software Plantillas de seguridad Plantillas administrativas

82 Directivas de Grupo Plantillas de seguridad Las plantillas de seguridad forman parte de las GPOs Pero se procesan de manera distinta Algunos cambios permanecen después de cambiar de OU Usadas para configurar opciones de seguridad en entornos 2000/XP/2003

83 Ubicadas en %systemroot%\security\templates –Se incluyen algunas con el SO –Otras están en las guías de seguridad –Se puede y se deben construir las propias Se aplican durante la instalación del SO (setup security.inf) Usar la herramienta de Plantillas de Seguridad para crearlas y editarlas Importarlas en las GPOs Directivas de Grupo Plantillas de seguridad

84 Área de seguridadDescripción Directivas de cuentasDirectivas de contraseñas, de bloqueo de cuentas y Kerberos Directivas locales Directiva de auditoría, asignación de derechos de usuario y opciones de seguridad Registro de sucesos Configuración de los registros de aplicación, sistema y sucesos de seguridad Grupos restringidosPertenencia a grupos sensibles a la seguridad Servicios del sistemaInicio y permisos para servicios del sistema RegistroPermisos para claves del Registro Sistema de archivosPermisos para carpetas y archivos Políticas IPSecPolíticas, filtros y reglas para aplicar seguridad IP Restricción de software Aplicaciones que se permitirán o se prohibirán Directivas de Grupo Plantillas de seguridad

85 Directivas de Grupo Plantillas administrativas Las plantillas administrativas contienen configuraciones de registro que se pueden aplicar a usuarios y equipos –Con Windows XP SP1 las plantillas administrativas incluyen sobre 850 opciones. –SP2 añade 609. –La guía Windows XP Security Guide incluye 10 plantillas administrativas adicionales –Software de terceros puede incluir plantillas adicionales –Se pueden construir (323639) Se importan las plantillas adicionales y después se editan

86 Directivas de Grupo Plantillas administrativas Internet Explorer –Un posible punto de entrada de amenazas –La configuración se puede controlar mediante GPO –Limitar las configuraciones de seguridad de la zona Internet Algunas opciones están incluidas en la guía Windows XP Security Guide Office –El Kit de recursos de Office incluye plantillas administrativas para las distintas aplicaciones –Ejemplo – Macro security

87 GPMC Herramienta mejorada de administración: –Interfaz mejorada Basada en cómo los clientes usan las políticas Gestión de seguridad mejorada –Generación de informes –Integración del conjunto resultante de directivas (RSoP) –Nuevas capacidades para un despliegue rápido Copia de seguridad/Restauración –Scripts Permite personalización y automatización –Soporte para despliegue en etapas Primero crearlo en entorno de pruebas Replicar a producción

88 Demostración

89 Resumen

90 Realizar un diseño sencillo Revisar las plantillas administrativas Utilizarlas para aplicar plantillas de seguridad Directivas de Grupo

91 Preguntas y respuestas

92 Para obtener más información Sitio de seguridad de Microsoft –http://www.microsoft.com/securityhttp://www.microsoft.com/security –http://www.microsoft.com/spain/seguridad/http://www.microsoft.com/spain/seguridad/ Sitio de seguridad de TechNet (profesionales de IT) –http://www.microsoft.com/technet/security/http://www.microsoft.com/technet/security/ –http://www.microsoft.com/spain/technet/seguridad/http://www.microsoft.com/spain/technet/seguridad/ Sitio de seguridad de MSDN (desarrolladores) –http://msdn.microsoft.com/securityhttp://msdn.microsoft.com/security

93


Descargar ppt "Fortificación de equipos Elementos de la seguridad."

Presentaciones similares


Anuncios Google