La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Seguridad en Windows Vista

Publicada porYesenia Montalvan Modificado hace 10 años

Presentaciones similares

Presentación del tema: "Seguridad en Windows Vista"— Transcripción de la presentación:

1 Seguridad en Windows Vista
José Parada Gimeno ITPro Evangelist

2 Agenda Filosofía sobre la seguridad (El Sermón)
Presentación Windows Vista (Marketing) Seguridad en Windows Vista Arranque Seguro Ejecución Segura Comunicaciones Seguras Mantenimiento de la Seguridad

3 El Problema de la Seguridad
Tenemos (mas que suficientes) tecnologías de seguridad, pero no sabemos como estamos (en el caso de que lo estemos) de seguros.

4 Problemas de seguridad en el puesto de trabajo.
Arranque inseguro ¿Quién lo arranca? ¿Es realmente el código original? Ejecución insegura Usuarios con muchos privilegios Servicios inútiles y con demasiados privilegios Comunicaciones inseguras Canales inseguros (IPV4) Accesos de clientes inseguros Degradación de la seguridad Integración de nuevo software Dispositivos de almacenamiento masivo Sistema sin parchear Antivirus y Antimalware desactualizados

5 Calendario Windows Vista
Sept 2003 Developer engagement April 2005 OEM & IHV engagement July 2005 Platform beta, IT engagement End user engagement H2 2006

6

7 Excelencia en la Ingeniera Protección desde los cimientos
Windows Vista Excelencia en la Ingeniera Diseñado y desarrollado pensando en la seguridad Protección desde los cimientos Protege de las amenazas de seguridad y reduce el riesgo de las interrupciones del negocio. Acceso Seguro Permite un acceso a la información y los servicios mas fácil y seguro Control Integrado Proporciona herramientas de monitorización y gestion centralizadas.

8 Vista: El Windows mas seguro
Excelencia en la Ingeniera Proceso de desarrollo Inicio Seguro BitLocker Drive Encryption Integridad en código Protección desde los cimientos Ejecución Segura Fortificación de Servicios User Account Protection IE7 Anti-Phishing Acceso Seguro Comunicación Segura Network Access Protection Integración del Firewall/IPSec Mantenerse mas Seguro Anti-malware Restart Manager Escaner de Seguridad Control de la instalación de dispositivos Control Integrado

9 Excelencia en la Ingeniería Proceso de Desarrollo de Windows Vista
Durante el desarrollo y creación de Windows Vista, Microsoft siguió su proceso mejorado de desarrollo seguro (SDL-Security Developmente LifeCycle). Formación periódica obligatoria en seguridad. Asignación de consejeros de seguridad para todos los componentes Modelo de amenazas como parte de la fase de diseño. Test y revisiones de Seguridad dentro del proceso de desarrollo. Mediciones de seguridad para los equipos de producto Certificación “Common Criteria (CC) CC lo mantiene el “US National Institute of Standards and Technology” (Que también son responsables de FIPS) csrc.nist.gov/cc

10 Arranque seguro Protección desde los cimientos
BitLocker™ Drive Encryption Integridad del código

11 BitLocker Drive Encryption
Tecnologías que proporcionan mayor seguridad Integridad en el arranque (Requiere Chip TPM) Cifrado completo del Disco Duro FVDE Protege los datos si el sistema esta “Off-line” Facilidad para el reciclado de equipos TPM = “Trusted Platform Module” Ver:

12 Variedad de protecciones
BDE nos ofrece un espectro de protección permitiendo balancear entre facilidad de uso contra nivel de protección *******

13 Integridad en el Arranque Requerimientos Hardware
Trusted Platform Module (TPM) v1.2 Hardware integrado en el equipo. Ejemplo- Un Chip en la Placa Base Almacena credenciales de forma segura, como la clave privada de un certificado de maquina y tiene capacidad de cifrado. Tiene la funcionalidad de una SmartCard Se usa para solicitud de firma digital de código o ficheros y para autenticación mutua de dispositivos Firmware (BIOS Convencional o EFI BIOS) – Compatible con TCG Establece la cadena de confianza para el pre-arranque del SO Debe de soportar las especificaciones TCG “Static Root Trust Measurement” (SRTM)

14 Integridad en el arranque Arquitectura (Static Root of Trust Measurement of early boot components)
CRTM PCR PCR PCR PCR PCR = Platform Configuration Register PCR CRTM=Core Root of Trust Measurement

15 Cifrado completo del Disco BitLocker™ Drive Encryption (BDE)
BDE cifra y firma todo el contenido del Disco Duro El chip TPM proporciona la gestion de claves Si no se tiene el chip TPM se puede utilizar una llave USB Por lo tanto Cualquier modificación de los datos, no autorizada realizada “off-line” es descubierta y el acceso es denegado Nos previene de ataques que utilizan herramientas que acceden al disco duro cuando Windows no se esta ejecutando. Protección contra el robo de datos cuando se pierde o te roban el equipo Parte esencial del arranque seguro

16 Diseño del Disco y almacen de llaves
¿Donde están las claves de cifrado? SRK (Storage Root Key) en el TPM SRK cifra VEK (Volume Encryption Key) protegida por TPM/PIN/Llave VEK se almacena (cifrada con SRK TPM, PIN o Llave) en la partición de arranque (Boot) del disco duro La Partición de Windows Contiene: SO Cifrado Ficheros de Paginación cifrados Ficheros temporales cifrados Datos Cifrados Fichero de hibernación cifrado VEK SRK 1 2 Windows 3 Boot La Partición de Arranque Contiene: MBR, Loader, Boot Utilities (Pequeña 50 Mb, sin cifrar)

17 Integridad del código I
Valida la integridad de la imagen de cada binario. Chequea los hashes de cada paquete que se carga en el espacio de memoria del Kerenel También chequea cualquier imagen que se carga en un proceso protegido y dll de sistema que realizan funciones de cifrado. Se implementa como un driver del sistema de ficheros Los hashes se almacenan en el catalogo de sistema o en un Certificado X.509 embebido en el fichero También valida la integridad del proceso de arranque Chequea el kernel, la HAL y los drivers de arranque Si la validación falla, la imagen no se cargará.

18 Integridad en Código II
No confundir la validación de hashes con las firmas x64 Todo el código que funciona con el procesador en modo kernel ha de estar firmado o no se cargara. Los drivers de terceros deben de estar certificados por la WHQL- o tener un certificado de una CA de Microsoft Sin ninguna excepción. Punto Binarios en modo Usuario no necesitan firma salvo que: Implementen funciones de cifrado Se carguen dentro del servicio de licencias de software x32 El firmado solo aplica a los drivers incorporados con Windows Se puede controlar por políticas que hacer con los de terceros. Código Kernel sin firmar se cargará Binarios en modo usuario – igual que en x64

19 ¿Como afecta esto al desarrollador?
Microsoft recomienda firmar el código siempre. Si tenemos código x64 que se cargue en modo Kernel tendremos que conseguir un certificado SPC (Software Publishing Certificate) y cruzarlo con un certificado de Microsoft Opciones de Firmado Verificación Funcionalidad Identidad Intención de Uso Windows Logo program SI Lanzamiento Kernel Mode Code Signing using a SPC No Si WHQL Test Signature program Pruebas KMCS Test Signing

20 Ejecución Segura Protección desde los cimientos
Fortificación de los servicios de Windows Reducción de Privilegios Protección de Cuentas de usuario (UAP) IE 7 con modo protegido

21 Fortificación de los servicios
Los Servicios de Windows Services fueron una gran superficie de ataque debido a sus privilegios y a que están siempre activos Refactorización Ejecutar los servicios como “LocalService” o “NetworkService” y no como “LocalSystem” Segmentación de los servicios para que no todo código del servicio se ejecute con muchos privilegios (modo Kernel) Perfilado Permite a los servicios restringir su comportamiento. SID (per-service Security Identifier) reconocidos en ACLs (Access Control Lists) de los recursos. Incluye reglas (Firewall) para especificar el comportamiento de red

22 Fortificación de los servicios
Reducir el tamaño de capas de riesgo Usuario Forificación Servicios LUA user Low privilege services Segmentación de servicios Admin Servicios Sistema S Kernel S Incrementar el número de capas S D D D S D D S Drivers de Kernel Servicios de Sistema Servicios de privilegios bajos Drivers en modo usuario D Control cuentas Usuario

23 Protección de cuentas Usuario UAC (User Account Control)
Nos ayuda a implementar el principio de menor privilegio de dos maneras distintas: El usuario no necesita tener privilegios administrativos para realizar ciertas tareas para las que se necesitas esos privilegios – En cambio: Se le pregunta al usuario por credenciales con mas privilegios Aunque el usuario tenga privilegios superiores( Ejem. un administrador), se le pregunta al usuario por su consentimiento antes de que esos derechos sean ejercitados No se necesita volver a proporcionar las credenciales, solo se necesita el consentimiento Leer: ww.microsoft.com/technet/windowsvista/evaluate/feat/uaprot.mspx

24 Cambio fundamental en la operativa de Windows
Hace que el sistema funcione bien como un usuario estándar Proporciona un método seguro para ejecutar aplicaciones en un contexto elevado Requiere marcar las aplicaciones que no sean UAC Deja claro las acciones que tienen un impacto en todo el equipo Virtualización del registro y ficheros para proporcionar compatibilidad. Escrituras en el registro de la maquina son redirigidas a localizaciones de usuario si el usuario no tiene privilegios administrativos Efectivamente: cuentas estándar pueden ejecutar aplicaciones que necesitan cuentas de administración de manera segura.

25 UAC: Usos y Políticas UAC esta activado por defecto ( Beta 2)
UAC no aplica a la cuenta de Administrador por defecto que funciona normalmente Se pude controlar mediante una política Local Security Settings; Local Policies; Security Options; “LUA: Behavior of the elevation prompt” No Prompt – Eleva los privilegios de manera transparente Prompt for Consent – Pregunta al usuario si continua (Yes/No) Prompt for Credentials – Requiere que el usuario introduzca credenciales (Por defecto)

26 Boton “Change Settings” Antes de realizar los cambios “Apply” o “OK”

27 Admin Approval Mode Aplicación del SO Aplicación Firmada
Aplicación no Firmada

28 Herramientas UAC Application Verifier UAC Predictor
Herramienta de desarrollo y test Monitoriza el uso del SO Proporciona guia UAC Predictor Plug-in de Application Verifier Predice si la aplicación se ejecuta con usuario estandar Built-in feature of Windows Vista

29 Aplicaciones Estandar en modo Usuario
Kernel Process Creation Security File System Registry Shell UI Control Panel Applets Application compatibility

30 Desarrollo de Aplicaciones Gestionadas
Gestor de Confianza (Trust Manager) Protocolo de Seguridad Nivel de Permisos requeridos

31

32 Internet Explorer 7 Además de ser compatible con UAP, incluirá:
Modo Protegido (Beta 2) que solo permite a IE navegar sin mas permisos, aunque el usuario los tenga. Ejem. Instalar software Modo de “Solo-lectura”, excepto para los ficheros temporales de Internet cuando el navegador esta en Zona de seguridad de Internet Filtro contra Phising que actualiza Microsoft cada poco tiempo y usa una red global de fuentes de datos ActiveX Opt-in, da al usuario el control de los controles Activex Todos los datos de cache se eliminan con un solo click

33 Filtro anti-Phishing Protección dinámica contra Webs Fraudulentas
Realiza 3 chequeos para proteger al usuario de posibles timos: Compara el Sitio Web con la lista local de sitios legítimos conocidos Escanea el sitio Web para conseguir características comunes a los sitios con Phising Cheque el sitio con el servicio online que tiene Microsoft sobre sitios reportados que se actualiza varias veces cada hora Dos niveles de Aviso y protección en la barra de estado de IE7 Level 1: Warn Suspicious Website Signaled Level 2: Block Confirmed Phishing Site Signaled and Blocked

34 Comunicaciones Seguras Acceso Seguro
Network Access Protection Integración Firewall/IPSec

35 Network Access Protection NAP
NAP es una nueva tecnología que tiene sus orígenes en la Cuarentena de VPN, pero ahora se extiende a todos los clientes de red, y no solo a los de acceso remoto Se apoya en un Servidor NAP, lo que significa Windows “Longhorn” Servers por ahora. Se especifica una política de: Requerir los parches del SO, actualización de firma del antivirus, presencia o ausencia de ciertas aplicaciones, cualquier chequeo arbitrario …y el sistema no permite el acceso a la red si la política no se cumple, excepto: A una zona de “Cuarentena” donde se pueden descargar las actualizaciones o el software necesario.

36 NG TCP/IP Next Generation TCP/IP en Vista y “Longhorn”
Una pila TCP/IP nueva, totalmente rehecha Implementación de Doble pila IPv6, con IPSec obligatorio IPv6 es mas seguro que IPv4 por diseño: Privacidad, monitorización, escaneo de puertos, confidencialidad e integridad Otras mejoras de seguridad a nivel de red para IPv4 e IPv6 Modelo de Host fuerte Compartimentos de enrutamiento por sesión Windows Filtering Platform Mejora de la resistencia de la pila TCP/IP contra ataques conocidos de DOS Auto-configuración y re-configuración sin reinicio Leer:

37 Windows Firewall – Seguridad Avanzada
Configuración de IPsec integrada en el firewall para proporcionar facilidad de configuración y gestión Control del trafico de salida Políticas inteligentes por defecto Configuración en pocos pasos Log mejorado Protección dinámica del sistema Aplicación de políticas basadas en la ubicación y el estado de las actualizaciones Integrado con la fortificación de los servicios de Windows

38 Mantener la Seguridad Control Integrado
Anti-malware Gestor de Reinicios (Restart Manager) Client-based Security Scan Agent Control sobre la instalación de dispositivos Infraestructura de SmartCard Mejorada

39 Anti-Malware Integrado
Detección Integrada, limpieza y bloqueo en tiempo real del malware: Gusanos, viruses, rootkits y spyware Para usuario Final- La gestion para empresas será un producto separado Además de UAP, que por supuesto nos prevendrá de muchos tipos de malware Integrado con Microsoft Malicious Software Removal Tool (MSRT) eliminara viruses, robots, y troyanos durante su actualización o cada mes

40 Restart Manager Algunas actualizaciones requieren un reinicio
El Gestor de Reinicios o “Restart Manager”: Minimiza el numero de reinicio necesarios juntando las actualizaciones Gestionar los reinicio de equipos que están bloqueados y ejecutan aplicaciones E.g. después de un reinicio, Microsoft Word reabrirá un documento en la pagina 27, tal y como estaba antes del reinicio Funcionalidad de importancia para la gestion centralizada de equipos en corporaciones.

41 Escaner de Seguridad Analiza y reporta el estado de seguridad del cliente Windows: Nivel de parches y actualizaciones Estado de la seguridad Ficheros de firmas Estado del Anti-malware Habilidad de Windows para auto reportar su estado La información se puede recoger de manera centralizada o revisado en el Centro de Seguridad por el usuario o el administrador

42 Control instalación dispositivos
Control sobre la instalación de dispositivos removibles vía políticas Principalmente para deshabilitar los dispositivos USB, pues muchas corporaciones están preocupadas por la perdida en la propiedad intelectual. Control por “device class” Drivers aprobados pueden ser pre-populados en un almacén de drivers de confianza Las politicas de “Driver Store Policies” gobiernan los paquetes de drivers que no están en el almacén de drivers Drivers estándar no corporativos Drivers sin Firma Estas políticas estas deshabilitadas por defecto debido a el riesgo inherente que los drivers arbitrarios representan. Una vez que el administrador pone un driver en el almacén, puede ser instalado independientemente de los permisos del usuario que inicie la sesión.

43

44 Referencias Trusted Computign Group Code Signing Best Practices
Code Signing Best Practices Firmas digitales para módulos de Kernel (x64)

45 Contacto José Parada Gimeno ITPro Evangelist jparada@microsoft.com

Descargar ppt "Seguridad en Windows Vista"

Presentaciones similares

Virus informático Daniel Cochez III Año E.

Virus informático Daniel Cochez III Año E.
Bienvenidos. Hasta el Vista Baby: Seguridad en Windows Vista Christian Linacre Asesor de Comunidades IT Microsoft Cono Sur.

Bienvenidos. Hasta el Vista Baby: Seguridad en Windows Vista Christian Linacre Asesor de Comunidades IT Microsoft Cono Sur.
SEGURIDAD EN REDES DE DATOS

SEGURIDAD EN REDES DE DATOS
Rights Management Server Juan Luis García Rambla Código: HOL-WIN13.

Rights Management Server Juan Luis García Rambla Código: HOL-WIN13.
Introducción a servidores

Introducción a servidores
Código: HOL-WS703. Introducción Sistema de gestión UAC (User Account Control) Seguridad en los procesos de autentificación Políticas de Seguridad Sistema.

Código: HOL-WS703. Introducción Sistema de gestión UAC (User Account Control) Seguridad en los procesos de autentificación Políticas de Seguridad Sistema.
© 2011 All rights reserved to Ceedo. Ceedo - Flexible Computing Autenticación Basada en Certificado (CBA) - Doble Factor de Autenticación ( 2FA) La organización.

© 2011 All rights reserved to Ceedo. Ceedo - Flexible Computing Autenticación Basada en Certificado (CBA) - Doble Factor de Autenticación ( 2FA) La organización.
ESET Endpoint Security y ESET Endpoint Antivirus

ESET Endpoint Security y ESET Endpoint Antivirus
DIRECT ACCESS.

DIRECT ACCESS.
Configuración y estaciones de trabajo

Configuración y estaciones de trabajo
Outpost Network Security

Outpost Network Security
Tema: Software Antivirus Tatiana Tumbaco Juan Carlos Viñan Cesar Tuarez Paul Barreiro Bismar Bermeo Maestría En Gestión de Calidad y Productividad.

Tema: Software Antivirus Tatiana Tumbaco Juan Carlos Viñan Cesar Tuarez Paul Barreiro Bismar Bermeo Maestría En Gestión de Calidad y Productividad.
José Parada Gimeno ITPro Evangelist

José Parada Gimeno ITPro Evangelist
Juan Luis García Rambla MVP Windows Security

Juan Luis García Rambla MVP Windows Security
BITLOCKER Fernando Guillot Paulo Dias IT Pro Evangelist Microsoft

BITLOCKER Fernando Guillot Paulo Dias IT Pro Evangelist Microsoft
28 de junio, 2010. Primero – Aclaremos el Nombre FOPE – Forefront Online Protection for Exchange Previamente FOSE Forma parte de Exchange Hosted Services:

28 de junio, Primero – Aclaremos el Nombre FOPE – Forefront Online Protection for Exchange Previamente FOSE Forma parte de Exchange Hosted Services:
Windows Vista: User Account Control

Windows Vista: User Account Control
Systems Management Server 2003 Santiago Pastor Zaltor Soluciones Informáticas.

Systems Management Server 2003 Santiago Pastor Zaltor Soluciones Informáticas.
Seguridad y Privacidad

Seguridad y Privacidad
Es un Sistema operativo de red. Es una de las plataformas de servicio más fiable para ofrecer acceso seguro y continuado a la red y los recursos de.

Es un Sistema operativo de red. Es una de las plataformas de servicio más fiable para ofrecer acceso seguro y continuado a la red y los recursos de.

Presentaciones similares

Anuncios Google