4/1/2017 7:03 PM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

{Seguridad} José Parada Gimeno Chema Alonso 4/1/2017 7:03 PM {Seguridad} José Parada Gimeno Chema Alonso ITPro Evangelist MVP Windows Security Microsoft Corporation Informática64 © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Agenda SQL Server 2008 Mejoras en la seguridad del Sistema Operativo Protección del sistema Offline (Bitlocker) Arranque seguro (Bitlocker) Integridad en el código del SO Fortificación de los servicios Control sobre las Cuentas de Usuario (UAC) Control sobre la instalación de dispositivos removibles Mejoras de Seguridad en Red TSGateway, NAP, VPN SSL Windows Firewall con Seguridad Avanzada e IPSec Mejoras en la seguridad del Dominio (DA) Auditoria de los servicios de Directorio Activo Controlador de Dominio de Solo-Lectura (RODC) Enterprise PKI SQL Server 2008

Bitlocker Drive Encryption Conjunto de funcionalidades que nos proporcionan: Protección cuando el sistema esta Offline mediante el cifrado completo del contenido de los Discos Duros Protección durante el Arranque del Hardware (Imprescindible TPM) Si sólo quiero utilizar el Cifrado del Disco duro y no tengo TPM, necesito una BIOS que soporte arranque desde dispositivos USB. ** El chip TPM valida la integridad del arranque de la máquina y proporciona la gestión de claves.

Cifrado completo del Disco BitLocker™ Drive Encryption (BDE) BDE cifra y firma todo el contenido del Disco Duro Por lo tanto Cualquier modificación de los datos, no autorizada realizada “off-line” es descubierta y el acceso es denegado Nos previene de ataques que utilizan herramientas que acceden al disco duro cuando Windows no se esta ejecutando. Protección contra el robo de datos cuando se pierde o te roban el equipo Útil para el reciclado seguro de equipos

Arquitectura Arranque Seguro Static Root of Trust Measurement of early boot components CRTM PCR PCR PCR PCR PCR = Platform Configuration Register PCR CRTM=Core Root of Trust Measurement

¿Cómo funciona? ¿Donde esta la clave de cifrado? 4/1/2017 7:03 PM ¿Cómo funciona? ¿Donde esta la clave de cifrado? Los datos de cifran con la FVEK La FVEK se cifra con la VMK (Volume Master Key) y se almacena en los metadatos del volumen. La VMK es cifrada por uno o mas protectores de la clave, y se almacena en los metadatos del volumen. El Trusted Platform Module no descifrará la VMK si la integridad del sistema falla. FVEK 2 (Full-Volume Encryption Key) DATA 1 VMK 3 TPM 4 Volume Meta-Data (Existen tres copias redundantes) ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

¿Cómo funciona? ¿Donde esta la clave de cifrado? 4/1/2017 7:03 PM ¿Cómo funciona? ¿Donde esta la clave de cifrado? Los datos de cifran con la FVEK La FVEK se cifra con la VMK (Volume Master Key) y se almacena en los metadatos del volumen. La VMK es cifrada por uno o mas protectores de la clave, y se almacena en los metadatos del volumen. El Trusted Platform Module no descifrará la VMK si la integridad del sistema falla. Llave USB (Recuperación o no-TPM TPM+PIN TPM+USB DATA 1 FVEK 2 VMK 3 TPM 4 123456-789012-345678- Recovery Password (48 Digitos) ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

SQL Server 2008: Cifrado de Datos Transparente (TDE) Microsoft ASP.NET Connections SQL Server 2008: Cifrado de Datos Transparente (TDE) Cifrado/descifrado a nivel de Base de Datos utilizando Database Encryption Key (DEK) DEK es cifrada mediante: Service Master Key EKM DEK debe ser descifrada para poder realizar operaciones como attach de bases de datos o recuperación de backups. SQL Server 2008 DEK Client Application Encrypted data page Updates will be available at http://www.devconnections.com/updates/LasVegas _06/ASP_Connections

Microsoft ASP.NET Connections TDE Escenarios Predida o robo de un equipo que contiene una base de datos con información importante. Copia de ficheros de una Base de Datos con un objetivo malicioso. Un usuario equivocado consigue las cintas de backups correspondientes a una Base de Datos. Sin la clave necesario o HSM para descifrar la DEK, la base de datos no puede ser utilizada. Updates will be available at http://www.devconnections.com/updates/LasVegas _06/ASP_Connections

SQL Server 2008: Gestión de Claves Extensible (EKM) Microsoft ASP.NET Connections SQL Server 2008: Gestión de Claves Extensible (EKM) Almacenamiento de claves de cifrado y gestión realizada por dispositivos externos (Hardware Security Module, o HSM) Cifrado/Descifrado realizado sobre los HSM. Nuevo interfaz SQL External Key Management (SQLEKM) para el controlador (driver). SQL EKM Driver Updates will be available at http://www.devconnections.com/updates/LasVegas _06/ASP_Connections

Integridad en el Código del SO I Protección a los ficheros del SO Valida la integridad del proceso de Arranque Chequea el Kernel, la HAL y los drivers del inicio. Si la validación falla, la imagen no se carga. Valida la integridad de la imagen de cada binario Implementado como un driver de filtro de sistema Chequea el hash de cada página según se carga Chequea cualquier imagen que se carga contra un proceso protegido Los Hashes se almacena en el catalogo de sistema o en un certificado X.509 embebido en el fichero INF210

Integridad en Código del SO II Firmado de los drivers de Terceros No confundir la validación de hashes con las firmas x64 Todo el código del kernel ha de estar firmado o no se cargara Los drivers de terceros deben de estar certificados por la WHQL- o tener un certificado de una CA de Microsoft Sin ninguna excepción. Punto Binarios en modo Usuario no necesitan firma salvo que: Implementen funciones de cifrado Se carguen dentro del servicio de licencias de software x32 El firmado solo aplica a los drivers incorporados con el Windows Se puede controlar por políticas que hacer con los de terceros. Codigo Kernel sin firmar se cargará Binarios en modo usuario – igual que en x64

{ Catalogo del Sistema} { Firma de Drivers} 4/1/2017 7:03 PM { Catalogo del Sistema} { Firma de Drivers} demo © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Protección de la Memoria Data Execution Protection Address Space Layout Randomization Stack Code Application Code Library Code Windows Code DEP Locals ASLR LoadLibrary() Return Address Parameters Previous Frames

Fortificación de los Servicios Los Servicios de Windows fueron una gran superficie de ataque debido a sus privilegios y a que estaban siempre activos. Mejoras: Se ejecutan en laSesión0, mientras que la GUI de usuario y las aplicaciones lo hacen en Sesion1 SID (per-service Security Identifier) reconocidos en ACLs (Access Control Lists), para que los servicios puedan proteger sus recursos Política de Firewall que prohíben el acceso de red por servicio, sujeto a ACLs y SIDs Descomposición de los privilegios innecesarios por servicio Cambio de “LocalSystem” a “LocalService” o “NetworkService” cuando es posible Uso de testigos con restricciones de escritura para los procesos de los servicios

Control sobre las cuentas de Usuario I Hace que el sistema funcione bien como un usuario estándar Proporciona un método seguro para ejecutar aplicaciones en un contexto elevado Requiere marcar las aplicaciones que no sean UAP Deja claro las acciones que tienen un impacto en todo el equipo Virtualización del registro y ficheros para proporcionar compatibilidad. Escrituras en el registro de la maquina son redirigidas a localizaciones de usuario si el usuario no tiene privilegios administrativos Efectivamente: cuentas estándar pueden ejecutar aplicaciones que necesitan cuentas de administración de manera segura.

{ Control Cuentas de Usuario} 4/1/2017 7:03 PM { Control Cuentas de Usuario} demo © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Fortificación de Servidor Control sobre la instalación de Dispositivos Habilidad para bloquear la instalación de cualquier nuevo dispositivo Se puede desplegar un servidor y no permitir que se instalen nuevos dispositivos Establecer excepciones basadas en ID o clase de dispositivo Permite que se añadan teclados y ratones pero nada mas Permite IDs específicos Configurable vía Políticas de Grupo Establecido a nivel de Equipo. INF210

{ Control Instalación dispositivos USB} 4/1/2017 7:03 PM { Control Instalación dispositivos USB} © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

NAP: Acceso basado en políticas Validación de Políticas: Determina si los equipos cumplen con la política de seguridad de la organización. A los que cumplen se les estima como “Saludables”. Restricciones de Red: Restringe el acceso a la red a los equipos en función de su salud. Remediación: Provee las actualizaciones necesarias para permitir que un equipo se vuelva saludable. Una vez que esto ocurre, se le quitan las restricciones de red. Cumplimiento sobre la marcha: Los cambios en la política de seguridad de la organización o en la salud de los equipos pueden provocar restricciones de red.

Network Access Protection Funcionamiento Servidor de Políticas 3 DHCP, VPN Switch/Router 1 2 MSFT NPS No Cumple la Política Red Restringida 4 Fix Up Servers e.g. Patch Cliente Windows Cumple la Política El cliente solicita acceso a la red y presenta su estado de salud actual 1 5 Red Corporativa 2 DHCP, VPN o Switch/Router envía el estado de salud al Servidor de Políticas de Red (RADIUS) 3 El Servidor de Políticas (NPS) valida contra la política de salud definida por IT 4 Si no cumple la política el cliente solo tiene acceso a una VLAN restringida donde hay recursos para solucionar sus problemas, descargar actualizaciones, firmas(Repetir 1-4) 5 Si cumple la política al cliente se le permite el acceso total a la red corporativa INF210

Opciones de Forzado Forzado Cliente Saludable Cliente no Saludable DHCP Configuración IP completa. Acceso Total Conjunto de rutas restringido VPN (Microsoft and 3rd Party) Acceso Total VLAN Restringida 802.1X IPsec Puede comunicar con cualquier nodo en que confie Nodos saludables rechazan la conexión de sistemas no Saludables Complementa la protección a nivel 2 Funciona con la infraestructura existente Aislamiento Flexible

Protección LAN con NAP Aquí las tienes. Servidores de Chequeo de Salud Red Restringida Servidores de Remediación Aquí las tienes. ¿Puedo obtener Actualizaciones? Actualización de políticas al servidor NPS Patch Status AV Status ¿Puedo acceder? Aquí esta mi estado de Salud Solicitando Acceso. Mi estado de salud MS NPS Tienes acceso restringido hasta que te actualices Según las políticas, el cliente no esta al día. Poner en cuarentena y solicitar actualización. Según las políticas, el cliente cumple. Permitir Acceso. ¿Debe este cliente ser restringido basándonos en su estado de salud? Switch 802.1X Se permite el acceso total al Cliente Cliente

Protección Perimetral con NAP Servidores de Chequeo de Salud Servidores de Remediación Actualización de políticas al servidor NPS Aquí las tienes. ¿Puedo obtener Actualizaciones? ¿Debe este cliente ser restringido basándonos en su estado de salud? ¿Puedo acceder? Aquí esta mi estado de Salud MS NPS Cliente Solicitando Acceso. Aquí esta mi nuevo estado de salud Se permite el acceso total a los recursos al Cliente Recurso bloqueado hasta que te actualices Según las políticas, el cliente cumple. Permitir Acceso. Según las políticas, el cliente no esta al día. Poner en cuarentena y solicitar actualización. Remote Access Gateway

Protección del Host con NAP Sin Política Autenticación Opcional Autenticación Requerida ¿Puedo obtener un certificado de Salud? Aqui esta mi estado de Salud ¿Esta el Cliente ok? SI. Emite el certificado de Salud No. Necesita Actualizarse NO obtienes tu certiificado. Actualizate. Aqui tienes el certificado de Salud  HRA X Necesito Actualizaciones. NPS Cliente Accediendo a la REd Aqui las tienes Servidor de Remediación

demo { Configuración NAP} Name Title Group 4/1/2017 7:03 PM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Despliegue Planificación de Requerimientos Definir la política de salud requerida Definir los métodos de forzado requeridos Planificar la arquitectura NAP Planificar las excepciones Definir roles y responsabilidades Fases del despliegue Pruebas en Laboratorio Piloto Modo de Reporte Forzado diferido Forzado .

Componentes Basicos de NAP Cliente SHA – Agente de salud chequea la salud del sistema QA – Coordina SHA/EC EC – Método de Forzado Servidor de Remedios Proporciona parches, firmas AV , etc… Network Policy Server QS – evalua la salud del cliente SHV – evalua la respuesta SHA System Health Server Proporciona SHV Servidor de Remedios Servidores de Salud Actualizaciones Política de Salud Solicitud Acceso a la Red Cliente Estado de Salud NPS Policy Server (RADIUS) (SHA) MS SHA, SMS (SHA) 3rd Parties Health Certificate System Health Validator Agente de Quarentena QA (EC) (DHCP, IPsec, 802.1X, VPN) (EC) 3rd Party EAP VPN’s Quarantine Server (QS) 802.1x Switches Policy Firewalls SSL VPN Gateways Certificate Servers

VPN con SSL – SSTP SSTP= Secure Socket Tunneling Protocol Una nuevo tunel VPN que permite pasar trafico por firewalls y proxy que bloquean trafico PPTP y L2TP/IPsec. Un mecanismo para encapsular trafico PPP por el canal SSL del protocolo HTTPS. Al usar trafico HTTPS el trafico va por el puerto 443. Solo soportado por Windows 2008 y Windows Vista Service Pack 1

Consideraciones SSTP El servidor necesita un certificado. El cliente necesita consultar la CLR para saber si el certificado del servidor esta al día y por tanto la CRL debe de estar publicado y accesible para el cliente. Si se cambia el certificado en el servidor SSTP hay que realizar el cambio mediante el comando netsh.

Intelligent Application Gateway VPN SSL Comprobación Cliente Política Applicaión Ubicación Edge

La “Sin” de Microsoft http://secunia.com/product/6782/

SQL Sever 2008 :Authentication Enhancements SQL Server 2005 Posibilidad de usar Kerberos solo con conexiones TCP/IP SPN deben registrarse en el AD SQL Server 2008 Posibilidad de usar Kerberos con todos los protocolos SPN puede ser especificado en la cadena de conexión (OLEDB/ODBC) Posibilidad de utilizar Kerberos sin tener el SPN registrado en el AD

demo { VPN SSL} Name Title Group 4/1/2017 7:03 PM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Recursos Guía paso a paso W2K8 Librería Técnica Foro de Seguridad W2K8 http://www.microsoft.com/downloads/details.aspx?familyid=518D870C-FA3E-4F6A-97F5-ACAF31DE6DCE&displaylang=en Librería Técnica http://technet2.microsoft.com/windowsserver2008/en/library/61d24255-dad1-4fd2-b4a3-a91a22973def1033.mspx?mfr=true Foro de Seguridad W2K8 http://forums.microsoft.com/TechNet/ShowForum.aspx?ForumID=581&SiteID=17

Recursos TechNet TechCenter de Windows Server 2008 http://www.microsoft.com/spain/technet/prodtechnol/windowsserver/2008/default.mspx Próximos webcasts en vivo http://www.microsoft.com/spain/technet/jornadas/default.mspx Webcasts grabados sobre Windows Server http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx?id=1 Webcasts grabados otras tecnologías Microsoft http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx Foros técnicos http://forums.microsoft.com/technet-es/default.aspx?siteid=30

Informática 64 Chema Alonoso Microsoft MVP Windows Security 4/1/2017 7:03 PM Informática 64 Chema Alonoso Microsoft MVP Windows Security chema@informatica64.com http://elladodelmal.blogspot.com © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.