Fortificación de equipos

Elementos de la seguridad

Análisis de riesgos Amenaza Recurso Vulnerabilidad

Métodos de aseguramiento Técnicas de mitigación ¡Alarma! ggrr!

Agenda Principios básicos Proceso de fortificación Herramientas Defensa en profundidad Mínimo punto de exposición Menor privilegio posible Proceso de fortificación Active Directory Controlador de dominio Línea base Servidores y clientes Herramientas SCE Security Configuration Wizard

Principios a aplicar Defensa en profundidad Mínimo punto de exposición Menor privilegio

Estrategia de Defensa en Profundidad Defensas de Perímetro Cada capa establece sus defensas: Datos y Recursos: ACLs, Cifrado Defensas de Aplicación: Validación de las entradas, Antivirus Defensas de Host: Asegurar el SO, aplicar revisiones y SP, Auditoria Defensas de red: Segmentación, VLAN ACLs, IPSec Defensas de perímetro: Filrado de paquetes, IDS, Cuarentena en VPN Defensas de Red Defensas de Host Defensas de Aplicación Datos y Recursos

Estrategia de Defensa en Profundidad Directivas, procedimientos, formación y concienciación Seguridad física Defensas de Perímetro Asume fallo de la capa anterior Cada capa asume que la capa anterior ha fallado: Medidas redundantes Seguridad Física Todo bajo la dirección de la política de seguridad de la empresa Basada en capas: Aumenta la posibilidad de que se detecten los intrusos Disminuye la oportunidad de que los intrusos logren su propósito Defensas de Red Defensas de Host Defensas de Aplicación Datos y Recursos

Mínimo punto de exposición Reducir la superficie de ataque Instalar sólo los servicios necesarios Exponer sólo los puertos que ofrezcan servicios Simplificar la infraestructura Separación de roles: acumular servicios en un mismo servidor aumenta su superficie de ataque

Menor privilegio posible Asignar sólo los “mínimos” permisos necesarios Separación de roles: desarrollo, administración, operación, ... No acumular privilegios La mayoría de los ataques son internos Protege de errores “humanos” Utilizar “Ejecutar como ...”

Menor privilegio posible Cuentas de usuarios Los usuarios DEBEN tener sólo los permisos necesarios para realizar sus tareas habituales No suele ser necesario “Control total del equipo” Además facilita el soporte Es importante, revisar las aplicaciones para que no requieran permisos administrativos

Menor privilegio posible Cuentas de administración Incluso los administradores no necesitan sus privilegios durante todas sus operaciones Utilización de dos cuentas: Usuario Normal para tareas cotidianas (correo electrónico, procesamiento de textos, etc.) Una cuenta distinta con permisos de administración (auditar el uso de esta cuenta) Formar a los administradores para que usen contraseñas complejas. Más de 15 caracteres. Las frases son fáciles de recordar (en Windows 2000 y 2003 es posible utilizar espacios) Smart Cards Uso de grupos locales en servidores individuales, para limitar quién puede administrarlos.

Menor privilegio posible Cuentas de servicio Limitar el posible daño en caso de que la cuenta estuviera expuesta a ataques. Compruebe si se puede usar una cuenta local en lugar de un dominio. Sin embargo, no funcionará para cuentas que deban comunicarse con otros servidores. Por ejemplo, los agentes de SQL suelen necesitar conectividad con otros servidores. Limite los permisos para la cuenta. Uso de contraseñas complejas Auditar el uso de estas cuentas

Agenda Principios básicos Proceso de fortificación Herramientas Defensa en profundidad Mínimo punto de exposición Menor privilegio posible Proceso de fortificación Active Directory Controlador de dominio Línea base Servidores y clientes Herramientas SCE Security Configuration Wizard

Proceso de fortificación Reglas generales Desplegar sistemas protegidos, no ejecutar procesos de fortificación una vez que los sistemas se han desplegado Es muy difícil, si no se conocen todos los componentes Mantener el proceso lo más simple posible Facilitar el despliegue (imágenes, scripts, ...) Facilitar el mantenimiento (gestión de actualizaciones, herramientas) Eliminar los elementos innecesarios Utilizar gestión de cambios (incluyendo imágenes) Monitorizar el entorno Formar a los usuarios Desarrolladores Usuarios

Metodología de fortificación Red interna Asegurar el entorno de Active Directory Crear un diseño teniendo en cuenta las implicaciones de seguridad Revisar el diseño actual Crear una Línea Base de Seguridad Para servidores y puestos clientes “Mínimo Común” de la seguridad Afinar esa Base para cada uno de los roles específicos

Refuerzo de Seguridad Proceso Servidores de infraestructuras Servidores de archivos Servidores IIS Autoridades de Certificación Hosts bastiones Active Directory Línea Base Servidores RADIUS Procedimientos de refuerzo de la seguridad Configuración de seguridad incremental basada en roles

Active Directory Componentes Bosque Un bosque funciona como límite de seguridad en Active Directory Dominio Facilita la gestión Unidad organizativa Contenedor de objetos Directivas de grupo Herramienta clave para implementar y administrar la seguridad de una red

Active Directory Consideraciones de diseño Crear un Plan de Seguridad de Active Directory Establecer claramente los límites de seguridad y administrativos Seguridad basada en la infraestructura de dominios Separación de administradores Gestionar cuidadosamente grupos con elevados privilegios Administradores de Empresa (Enterprise Admins) Administradores de Esquema (Schema Admins) Delegar tareas administrativas Crear una Estructura de Unidades Organizativas Para delegación de administración Para la aplicación de directivas de grupo Si ya está desplegado AD, revisar el diseño actual para conocer mejor las posibles vulnerabilidades

Diseño de Active Directory Plan de Seguridad Analizar el entorno Centro de datos de intranet Sucursales Centro de datos de extranet Realizar un análisis de las amenazas Identificar las amenazas para Active Directory Identificar los tipos de amenazas Identificar el origen de las amenazas Determinar medidas de seguridad para las amenazas Establecer planes de contingencia

Administración Active Directory Recomendaciones generales Delegar los permisos mínimos necesarios para cada rol Utilizar doble cuenta para usuarios administradores Cuenta de administración (no genérica) Cuenta de usuario: acceso al correo, documentar, navegar Utilizar autenticación fuerte para cuentas de administración Autenticación fuerte (dos factores): Smart Card y PIN

Diseño de Active Directory Bosques Separar en otro bosque los servidores de Extranet Crear otro bosque para aislar administradores de servicios Bosques y dominios Bosque = Límite real de seguridad Dominio = Límite de gestión para administradores con buen comportamiento

Diseño de Active Directory Jerarquía de Unidades Organizativas Directiva de dominio Dominio Diseño de dominios Directiva de línea de base de servidor integrante Servidores integrantes Controladores de dominio Directiva de controladores de dominio Directiva de servidores de impresión Directiva de servidores de archivos Directiva de servidores IIS Servidores de impresión Servidores de archivos Servidores Web Administrador de operaciones Administrador de servicios Web Una jerarquía de unidades organizativas basada en funciones de servidor: Simplifica la administración de la seguridad Aplica la configuración de directivas de seguridad a los servidores y a otros objetos en cada unidad organizativa

Directiva de Grupo de Dominio Fortalecimiento de configuración Revisar y modificar la Directiva por defecto Es posible que no se adecue a las políticas de la empresa Para modificarla existen dos estrategias: Modificar la Directiva por defecto Crear una Directiva Incremental Establecer elementos comunes a todo el dominio Directivas de cuentas Bloqueo y Desbloqueo de cuentas

Directiva de Grupo de Dominio Directiva de cuentas Políticas de bloqueo de cuentas Las directivas de cuentas se aplican en el nivel de dominio y afectan a todas las cuentas de dominio Políticas de Contraseñas Dominio Políticas Kerberos Políticas de cuentas para los usuarios del dominio Caducidad y Complejidad de Contraseñas Bloqueo y Desbloqueo de cuentas

Controladores de Dominio Son los servidores más importantes de la infraestructura Poseen la información de todos los objetos del Active Directory La seguridad física es importante Ubicados en salas con control de acceso Las copias de seguridad poseen también información crítica Se deben almacenar en entornos con control de acceso Proceso de Instalación: En ubicaciones controladas Bajo la supervisión de administradores Utilizando procedimientos automatizados

Controladores de dominio Plantilla de seguridad La mayoría de las directivas coincidirán con la Línea Base de Seguridad Mayores restricciones en los derechos de usuarios Inicio de sesión interactiva: Sólo administradores Inicio de sesión por TS: Sólo administradores Restauración: Sólo administradores Cambiar la hora del sistema: Sólo administradores Configuración servicios específicos: DFS DNS NTFRS KDC

Controladores de Dominio Medidas de Seguridad Adicionales Reubicar los directorios de la base de datos y logs de Active Directory Incrementar el tamaño de los registros de eventos Asegurar el servicio DNS Utilizar actualizaciones dinámicas seguras Limitar las transferencias de zonas Bloquear puertos con IPSec

Controladores de Dominio Medidas de Seguridad Adicionales SYSKEY Protege la SAM de ataques offline Como contrapartida incrementa los costes operacionales

Diseño de Active Directory Directivas de Grupo Dominio Para asegurar servidores: Línea base común Medidas adicionales para cada rol Servidores Directiva de línea de base de servidor integrante Rol 1 Directiva incremental para cada rol Rol 2 Rol 3

Diseño de Active Directory Directivas de Grupo Para asegurar puestos: Separar usuarios y equipos Aplicar las políticas adecuadas a cada OU Dominio Departamento Departamento N Usuarios Windows XP OU Desktop OU Laptop OU

Refuerzo de Seguridad Proceso Servidores de infraestructuras Servidores de archivos Servidores IIS Autoridades de Certificación Hosts bastiones Active Directory Línea Base Servidores RADIUS Procedimientos de refuerzo de la seguridad Configuración de seguridad incremental basada en roles

Establecer línea base 8 Recomendaciones básicas Seleccionar aplicaciones de línea base En toda la empresa: Aplicaciones en todos los escritorios Aplicaciones en todos los servidores Revisar la seguridad de estas aplicaciones Gestionar las actualizaciones de seguridad y los Service Pack: Tanto de las aplicaciones como del sistema operativo

Establecer línea base 8 Recomendaciones básicas En la línea base del sistema operativo, seleccionar los componentes a incluir Los “mínimos” componentes necesarios No instalar aquellos componentes que no se usen en todos los entornos Mínimo punto de exposición

Establecer línea base 8 Recomendaciones básicas Seleccionar las funciones a activar Tecnologías disponibles (por ejemplo, Windows Update) Infraestructuras comunes: PKI

Establecer línea base 8 Recomendaciones básicas Crear plantillas de seguridad Usando las guías de seguridad como base Windows Server 2003 Security Guide Windows XP Security Guide Incluir valores personalizados Extender SCE (sceregvl.inf) Comprobar los problemas conocidos

Microsoft Solutions for Security Guías de referencia Guías para: Windows Server 2003 Windows XP Service Pack 2 Wireless LAN Security Guide Estas guías son: Guías probadas en entornos reales Diseñadas para preocupaciones reales de seguridad Apropiadas para situaciones reales

Windows Server 2003 Security Guide Plantillas de seguridad Plantillas para tres escenarios: “Legacy templates”: predomina la compatibilidad sobre la seguridad “Enterprise templates”: apropiadas para la mayoría de los entornos “High-security”: mayor restricción de seguridad, sin compatibilidad

Windows XP Security Guide Plantillas de seguridad Plantillas para tres escenarios: “Enterprise client”: clientes de Active Directory con configuraciones de seguridad apropiadas para la mayoría de empresas “High-security client”: funcionalidad reducida, mayor restricción de seguridad “Stand alone client”: no pertencen a Active Directory, puestos aislados o dominios NT 4.0

Línea Base de Seguridad Recomendaciones No aplicar directamente las plantillas: Revisar detalladamente todas las opciones Probar los cambios en entorno de laboratorio antes de implementarlos en producción

Línea Base de Seguridad Posibles cambios Para evitar operaciones remotas de los administradores de servicio Utilizar la política “Denegar inicio de sesión desde red” Cuidado con las opciones del registro de sucesos cuando se llena Denegación de servicio si se llena el registro de seguridad Compatibilidad con sistemas anteriores, hace rebajar el nivel de seguridad: “Firmar digitalmente las comunicaciones (siempre)” (SMB) “No permitir enumeraciones anónimas de cuentas” “No almacenar el valor de hash de Lan Manager” “Nivel de Autenticación de Lan Manager”

Línea Base de Seguridad Otras opciones Asegurar la pila TCP/IP Prevenir ataques DoS Deshabilitar la generación automática de nombres 8.3 en NTFS Deshabilitar la opción de ejecución automática de CD-ROMs (Autorun) Orden de búsqueda de DLLs

Establecer línea base 8 Recomendaciones básicas Añadir bloqueos adicionales Información extraída de los grupos de productos, las alertas de seguridad, los expertos de seguridad, las mejores prácticas, etc. Políticas de grupo más allá de las plantillas de seguridad (Internet Explorer, Outlook, etc.) Servicios (varían según las funciones) Listas de control de acceso (ACL) Funciones de servidor (IIS, DC, etc.) Políticas IPSec

Establecer línea base 8 Recomendaciones básicas Automatizar todo el proceso Incluso aunque se usen imágenes para el despliegue Las secuencias de comandos son controlables, las respuestas de personas menos. Ejemplos: Archivos de respuestas para el Sistema Operativo Instalaciones silenciosas y no interactivas Kit de administración de Internet Explorer Asistente para la instalación personalizada de Office Ficheros INF de plantillas de seguridad Scripts en general: Windows Scripting Host (WSH) y Windows Management Instrumentation (WMI) Proceso autodocumentado

Establecer línea base 8 Recomendaciones básicas Verificar el funcionamiento como usuario Normal (estaciones de trabajo) La inmensa mayoría de los errores en aplicaciones suceden cuando se inicia sesión como usuario Normal. Se deben resolver las incompatibilidades antes de la distribución.

Establecer línea base 8 Recomendaciones básicas Controlar el acceso de las cuentas de Administrador y Servicio Siguiendo del principio del menor privilegio

Refuerzo de Seguridad Proceso Servidores de infraestructuras Servidores de archivos Servidores IIS Autoridades de Certificación Hosts bastiones Active Directory Línea Base Servidores RADIUS Procedimientos de refuerzo de la seguridad Configuración de seguridad incremental basada en roles

Servidores Aseguramiento de roles específicos Se partirá de la configuración de línea base Se utilizará una plantilla de seguridad incremental específica para el rol Modificando los servicios a usar Revisando los permisos Se configurarán manualmente las opciones adicionales Separación de datos y aplicaciones Dependientes de las aplicaciones del rol Incluyendo seguridad de las aplicaciones

Servidor de Aplicaciones IIS Configuraciones adicionales Instalar sólo los componentes necesarios Habilitar sólo las extensiones necesarias Ubicar el contenido en volúmenes dedicados Evitar usar el volumen de sistema Establecer permisos NTFS Establecer permisos IIS sobre los sitios web Evitar permisos de ejecución y escritura en el mismo sitio web Evitar cuentas de servicio de dominio Asegurar cuentas conocidas: Invitado Administrador Filtrado de tráfico mediante IPSec para permitir sólo puertos específicos (80,443)

Puestos cliente Directiva de restricción de aplicaciones La ejecución de código malintencionado supone un riesgo grave para la seguridad Las directivas de restricción de software impiden que los usuarios ejecuten código malintencionado: Se aplican a archivos ejecutables, contenido activo y secuencias de comandos Se pueden distribuir con Directiva de grupo

Puestos cliente Directiva de restricción de aplicaciones Seleccionar una configuración predeterminada: Restringida o Permitida Excepciones a la configuración predeterminada: Reglas hash Reglas de certificado Reglas de ruta de acceso Reglas de zona de Internet Si se aplican varias reglas: Se aplica la prioridad de reglas

Agenda Principios básicos Proceso de fortificación Herramientas Defensa en profundidad Mínimo punto de exposición Menor privilegio posible Proceso de fortificación Active Directory Controlador de dominio Línea base Servidores y clientes Herramientas SCE Security Configuration Wizard

Herramientas de gestión Plantillas de seguridad Aplicación local mediante herramientas “Plantillas de Seguridad” Complemento MMC Permite editar las plantillas de seguridad “Configuración y Análisis de Seguridad” Permite la comparación y la aplicación de varias plantillas de seguridad “SecEdit” Línea de comandos Permite aplicar plantillas mediante scripts

Plantillas de seguridad Edición de las plantillas Permite Crear nuevas plantillas Editar las plantillas existentes Ubicación de las plantillas Ruta por defecto: %systemroot%\security\templates Se pueden añadir más rutas

Plantillas de seguridad

Configuración y Análisis Aplicar plantillas Permite Analizar el estado actual de un servidor con respecto a una plantilla Aplicar una plantilla Pasos: Se crea una base de datos Se importa la plantilla Se genera un registro de errores (log) Se efectúa la operación deseada

Configuración y Análisis

Configuración y Análisis

secedit Edición de las plantillas Se utiliza mediante la línea de comandos Se puede incluir en scripts Permite Analizar Aplicar Importar Exportar

Security Configuration Wizard Windows Server 2003 SP1 Facilita la aplicación de políticas de seguridad Va más allá de las plantillas .inf Políticas IPSec Entradas en el registro Se basa en ficheros XML Se puede extender Incluir aplicaciones propias

Security Configuration Wizard Windows Server 2003 SP1 Permite Crear nuevas políticas de seguridad Editar las políticas de seguridad existentes Aplicar políticas de seguridad Efectuar una vuelta atrás de la última política de seguridad

Security Configuration Wizard Windows Server 2003 SP1

Security Configuration Wizard Windows Server 2003 SP1

Demostración

Resumen

Principios de seguridad Análisis de riesgos de seguridad Estrategia de Defensa en Profundidad Reducir la superficie de exposición Mínimo privilegio

Fortificación de equipos Revisar el diseño de Active Directory Desplegar equipos seguros Partir de una línea base segura Ajustar la configuración para entornos concretos

Diseño de Active Directory Los Bosques establecen los Límites Reales de Seguridad. Separación de Roles de Administración Utilizar Unidades Organizativas para Delegar Administración y aplicar Directivas de Grupo

Fortificación de servidores Revisar la guía “Windows Server 2003 Security Guide” Crear una Línea Base de Seguridad Común Afinar con Directivas de Grupo para cada Rol de Servidores

Fortificación de clientes Revisar la guía “Windows XP Security Guide” Gestionar las actualizaciones de seguridad Aplicaciones que no requieran permisos administrativos

Gestion de Directivas de Grupo

Agenda Procesamiento Planificación Componentes GPMC

Group Policy Objects Tecnología presente en sistemas Windows 2000 y posteriores Evolución de las system policies de NT  Permite gestionar centralizadamente clientes Se basa en Active Directory Construir la infraestructura correcta para la aplicación de GPOs Se pueden usar localmente – incrementa la carga administrativa

Directivas de Grupo Procesamiento Site Domino OU GPO1 GPO2 GPO3 GPO4 Políticas locales Políticas Site Políticas Dominio Políticas de OU

Directivas de Grupo Procesamiento Arranque equipo Configuración de equipos Scripts de arranque Refresh Inicio de sesión Configuración de usuario Scripts de logon Refresh

Directivas de Grupo Procesamiento Se pueden actualizar bajo petición gpupdate Filtrado Utilizando grupos de seguridad WMI – Windows Server 2003 Bloqueo Modo de procesamiento especial: “loopback GPO processing” Se pueden delegar permisos sobre GPO’s

Directivas de Grupo Planificación Root Domain Departamento Domain Controller Secured Users OU Windows XP OU Desktop OU Laptop OU Las GPOs simplifican la aplicación de directivas de seguridad Utilizar jerarquía Separar usuarios y equipos Aplicar las políticas adecuadas a cada OU Seguir las guías existentes: Windows XP Security Guide

Directivas de Grupo Componentes Scripts De inicio y cierre de sesión de usuario De arranque y apagado de equipos Redirección de carpetas de usuario Instalación de Software Plantillas de seguridad Plantillas administrativas

Directivas de Grupo Plantillas de seguridad Las plantillas de seguridad forman parte de las GPOs Pero se procesan de manera distinta Algunos cambios permanecen después de cambiar de OU Usadas para configurar opciones de seguridad en entornos 2000/XP/2003

Directivas de Grupo Plantillas de seguridad Ubicadas en %systemroot%\security\templates Se incluyen algunas con el SO Otras están en las guías de seguridad Se puede y se deben construir las propias Se aplican durante la instalación del SO (setup security.inf) Usar la herramienta de “Plantillas de Seguridad” para crearlas y editarlas Importarlas en las GPO’s

Directivas de Grupo Plantillas de seguridad Área de seguridad Descripción Directivas de cuentas Directivas de contraseñas, de bloqueo de cuentas y Kerberos Directivas locales Directiva de auditoría, asignación de derechos de usuario y opciones de seguridad Registro de sucesos Configuración de los registros de aplicación, sistema y sucesos de seguridad Grupos restringidos Pertenencia a grupos sensibles a la seguridad Servicios del sistema Inicio y permisos para servicios del sistema Registro Permisos para claves del Registro Sistema de archivos Permisos para carpetas y archivos Políticas IPSec Políticas, filtros y reglas para aplicar seguridad IP Restricción de software Aplicaciones que se permitirán o se prohibirán

Directivas de Grupo Plantillas administrativas Las plantillas administrativas contienen configuraciones de registro que se pueden aplicar a usuarios y equipos Con Windows XP SP1 las plantillas administrativas incluyen sobre 850 opciones. SP2 añade 609. La guía “Windows XP Security Guide” incluye 10 plantillas administrativas adicionales Software de terceros puede incluir plantillas adicionales Se pueden construir (323639) Se importan las plantillas adicionales y después se editan

Directivas de Grupo Plantillas administrativas Internet Explorer Un posible punto de entrada de amenazas La configuración se puede controlar mediante GPO Limitar las configuraciones de seguridad de la zona Internet Algunas opciones están incluidas en la guía “Windows XP Security Guide” Office El Kit de recursos de Office incluye plantillas administrativas para las distintas aplicaciones Ejemplo – Macro security

GPMC Herramienta mejorada de administración: Interfaz mejorada Basada en cómo los clientes usan las políticas Gestión de seguridad mejorada Generación de informes Integración del conjunto resultante de directivas (RSoP) Nuevas capacidades para un despliegue rápido Copia de seguridad/Restauración Scripts Permite personalización y automatización Soporte para despliegue en etapas Primero crearlo en entorno de pruebas Replicar a producción

Demostración

Resumen

Directivas de Grupo Realizar un diseño sencillo Utilizarlas para aplicar plantillas de seguridad Revisar las plantillas administrativas

Preguntas y respuestas

Para obtener más información Sitio de seguridad de Microsoft http://www.microsoft.com/security http://www.microsoft.com/spain/seguridad/ Sitio de seguridad de TechNet (profesionales de IT) http://www.microsoft.com/technet/security/ http://www.microsoft.com/spain/technet/seguridad/ Sitio de seguridad de MSDN (desarrolladores) http://msdn.microsoft.com/security