Santiago Núñez Consultor Técnico Microsoft

Santiago Núñez Consultor Técnico Microsoft
Microsoft Windows en el proceso de certificación. Seguridad en Microsoft Windows Server 2003 Santiago Núñez Consultor Técnico Microsoft

Principios de Seguridad
Confidencialidad Integridad Disponibilidad Confidencialidad: garantizar que sólo los usuarios y aplicaciones autorizados acceden a la información Integridad: asegurar que la información no ha sido modificada Disponibilidad: garantizar que la información está accesible a usuarios y aplicaciones

Parámetros de seguridad Situación actual
Procesos Tecnología La seguridad se administra desde 3 aspectos clave, sin una correcta aproximación a cada uno de estos aspectos de forma equilibrada tendremos que dedicar mayores recursos en el resto de los aspectos para que el centro de atención no se desplace. Cada uno de estos aspectos funciona como un vector que provoca un desequilibrio. Así podemos tener una capacidad tecnológica grande pero careciendo de procesos correctos y de la suficiente predisposición de la gente la fuerza de estos dos vectores impedirán que únicamente la tecnología pueda asegurar unos niveles de seguridad suficientes. En este aspecto ISO cumple una función importante en cuanto la definición de los procesos a establecer y las responsabilidades requeridas a las personas que utilizan el sistema. Microsoft por su parte dota a esos procesos y a esas personas de la tecnología suficiente para implementarlos. + - Gente

Agenda Diferenciar el servidor por su función y su entorno
Aseguramiento en entornos confiados Asegurar un Controlador de Dominio Asegurar un Servidor de Infraestructura Asegurar un Servidor de Ficheros Asegurar un Servidor de Aplicaciones IIS Aseguramiento en entornos no confiados Bastionado Asegurar un Servidor de Autenticación IAS

Seguridad de los servidores Situación actual
Servidores con diversas funciones Recursos limitados para implementar soluciones seguras Utilización de sistemas antiguos Amenaza interna o accidental Carencia de experiencia en seguridad El acceso físico anula muchos procedimientos de seguridad Consecuencias legales

Seguridad de los servidores Situación actual
La complejidad es enemiga de la seguridad

Seguridad de los servidores Primeros pasos
Diferenciar los servidores: Valor o criticidad de los datos o aplicaciones Nivel de exposición Rol o función Y entonces: Priorizar los recursos destinados Aplicar distintas políticas según el rol y el nivel de exposición

Diferenciar servidores Según su criticidad
La criticidad de un servidor la puede determinar: Los datos que contiene el servidor: cuentas de usuarios, información financiera, datos sensibles El servicio que ofrece El nivel de servicio necesario (SLA) Una infraestructura debe “aislar” los sistemas más críticos La seguridad de un sistema crítico no debe depender de la seguridad de otro de menor criticidad

Diferenciar servidores Según su ubicación
La ubicación puede determinar el nivel de exposición a distintos atacantes Zona interna de confianza Zona de acceso remoto Zona perimetral Las políticas de seguridad pueden variar según la exposición

Diferenciar servidores Según su funcionalidad
Cada servidor tendrá una serie de funcionalidades lícitas Controladores de dominio Servidores de infraestructura: DHCP, WINS Servidores de archivos Servidores de impresión Servidores de aplicación IIS Servidores de autenticación IAS Servidores de certificación Servidores bastiones Pueden aparecer otros roles Hacer que cada servidor sea un representante único de su rol, dificulta la gestión.

Estrategia de Defensa en Profundidad
Cada capa establece sus defensas: Datos y Recursos: ACLs, Cifrado Defensas de Aplicación: Validación de las entradas, Antivirus Defensas de Host: Asegurar el SO, aplicar revisiones y SP, Auditoria Defensas de red: Segmentación, VLAN ACLs, IPSec Defensas de perímetro: Filrado de paquetes, IDS, Cuarentena en VPN Defensas de Perímetro Defensas de Red Defensas de Host Defensas de Aplicación Datos y Recursos

Estrategia de Defensa en Profundidad
Directivas, procedimientos, formación y concienciación Cada capa asume que la capa anterior ha fallado: Medidas redundantes Seguridad Física Todo bajo la dirección de la política de seguridad de la empresa Basada en capas: Aumenta la posibilidad de que se detecten los intrusos Disminuye la oportunidad de que los intrusos logren su propósito Seguridad física Defensas de Perímetro Asume fallo de la capa anterior Defensas de Red Defensas de Host Defensas de Aplicación Datos y Recursos

Seguridad de Servidor Prácticas Básicas
Aplicar Service Packs Aplicar las Revisiones de Seguridad Subscribirse a los boletines de seguridad “TechNet Security Day I”

Seguridad en Entornos Confiados Estrategia
Asegurar el entorno de Active Directory Crear un diseño teniendo en cuenta las implicaciones de seguridad Revisar el diseño actual Crear una Línea Base de Seguridad para todos los servidores integrantes “Mínimo Común” de la seguridad Afinar esa Base para cada uno de los roles específicos

Active Directory Componentes
Bosque Un bosque funciona como límite de seguridad en Active Directory Dominio Facilita la gestión Unidad organizativa Contenedor de objetos Directivas de grupo Herramienta clave para implementar y administrar la seguridad de una red

Active Directory Consideraciones de diseño
Crear un Plan de Seguridad de Active Directory Establecer claramente los límites de seguridad y administrativos Seguridad basada en la infraestructura de dominios Separación de administradores Gestionar cuidadosamente grupos con elevados privilegios Administradores de Empresa (Enterprise Admins) Administradores de Esquema (Schema Admins) Delegar tareas administrativas Crear una Estructura de Unidades Organizativas Para delegación de administración. Para la aplicación de directivas de grupo Si ya está desplegado AD, revisar el diseño actual para conocer mejor las posibles vulnerabilidades

Diseño de Active Directory Plan de Seguridad
Analizar el entorno Centro de datos de intranet Sucursales Centro de datos de extranet Realizar un análisis de las amenazas Identificar las amenazas para Active Directory Identificar los tipos de amenazas Identificar el origen de las amenazas Determinar medidas de seguridad para las amenazas Establecer planes de contingencia

Diseño de Active Directory Recomendaciones de Administración
Separación de roles de administración Administradores de servicio Encargados de configurar y administrar los distintos servicios de AD Controlan la replicación y el correcto funcionamiento Copias de seguridad y restauración de AD Administran los controladores de dominio y servidores de infraestructura Administradores de datos Administran subconjuntos de objetos de AD: Usuarios, grupos, carpetas compartidas Equipos, servidores integrantes y los datos que contienen

Diseño de Active Directory Autonomía o Aislamiento
Autonomía (control no exclusivo) Autonomía de servicio Crear un bosque para autonomía de esquema, autoridades de certificación de empresa, etc. Crear un dominio para autonomía de directivas de grupo, políticas de contraseña Autonomía de datos Crear una OU para delegar control a los administradores de datos Aislamiento (control exclusivo) Aislamiento de servicio Crear un bosque Aislamiento de datos Crear una OU para aislar de otros administradores de datos Crear un bosque para aislar de los administradores de servicio

Administración Active Directory Recomendaciones generales
Delegar los permisos mínimos necesarios para cada rol Utilizar doble cuenta para usuarios administradores Cuenta de administración (no genérica) Cuenta de usuario: acceso al correo, documentar, navegar Utilizar autenticación fuerte para cuentas de administración Autenticación de dos factores: Smart Card y PIN

Diseño de Active Directory Bosques
Separar en otro bosque los servidores de Extranet Crear otro bosque para aislar administradores de servicios Bosques y dominios Bosque = Límite real de seguridad Dominio = Límite de gestión para administradores con buen comportamiento Múltiples bosques Bosque Trust

Diseño de Active Directory Jerarquía de Unidades Organizativas
Directiva de dominio Dominio Diseño de dominios Directiva de línea de base de servidor integrante Servidores integrantes Controladores de dominio Directiva de controladores de dominio Directiva de servidores de impresión Directiva de servidores de archivos Directiva de servidores IIS Servidores de impresión Servidores de archivos Servidores Web Administrador de operaciones Administrador de servicios Web Una jerarquía de unidades organizativas basada en funciones de servidor: Simplifica la administración de la seguridad Aplica la configuración de directivas de seguridad a los servidores y a otros objetos en cada unidad organizativa

Directiva de Grupo de Dominio Fortalecimiento de la configuración
Revisar y modificar la Directiva por defecto Es posible que no se adecue a las políticas de la empresa Para modificarla existen dos estrategias: Modificar la Directiva por defecto Crear una Directiva Incremental Políticas de cuentas para los usuarios del dominio Caducidad y Complejidad de Contraseñas Bloqueo y Desbloqueo de cuentas

Demostración Delegación de administración y aplicación de una plantilla de seguridad Delegación del control a un grupo administrativo Aplicación de la plantilla de seguridad de dominio En esta demostración, verá cómo: Crear una estructura de unidades organizativas. Delegar el control de una unidad organizativa en un grupo administrativo. Aplicar la plantilla de seguridad de dominios.

Refuerzo de Seguridad Proceso
Servidores de infraestructuras Servidores de archivos Servidores IIS Autoridades de Certificación Hosts bastiones Seguridad Active Directory Directiva de línea de base de servidores integrantes Servidores RADIUS Procedimientos de refuerzo de la seguridad Configuración de seguridad incremental basada en funciones Configuración de seguridad de línea de base para todos los servidores integrantes Opciones de configuración adicionales para servidores con funciones específicas Utilizar GPResult para verificar la aplicación

Línea Base de Seguridad Recomendaciones
Se aplicará a todos los servidores integrantes No a los controladores de dominio Opciones de la plantilla: Directiva de auditoria Inicio y fin de sesión, cambios en la política Asignación de derechos de usuario Permitir inicio de sesión local en los servidores Opciones de seguridad Nombres de cuentas de administrador y de invitado Acceso a la unidad de CD-ROM y de disquete Los mensajes de inicio de sesión Registro de sucesos Tamaño Servicios del sistema Comportamiento de inicio

Línea Base de Seguridad Recomendaciones
No aplicar directamente las plantillas: Revisar detalladamente todas las opciones Probar los cambios en entorno de laboratorio antes de implementarlos en producción

Línea Base de Seguridad Posibles cambios
Para evitar operaciones remotas de los administradores de servicio Utilizar la política “Denegar inicio de sesión desde red” Cuidado con las opciones del registro de sucesos cuando se llena Denegación de servicio si se llena el registro de seguridad Compatibilidad con sistemas anteriores, hace rebajar el nivel de seguridad: “Firmar digitalmente las comunicaciones (siempre)” (SMB) “No permitir enumeraciones anónimas de cuentas” “No almacenar el valor de hash de Lan Manager” “Nivel de Autenticación de Lan Manager”

Línea Base de Seguridad Otras opciones
Asegurar la pila TCP/IP Prevenir ataques DoS Deshabilitar la generación automática de nombres 8.3 en NTFS Deshabilitar la opción de ejecución automática de CD-ROMs (Autorun) Orden de búsqueda de DLLs

Asegurar un Controlador de Dominio
Son los servidores más importantes de la infraestructura Poseen la información de todos los objetos del Active Directory La seguridad física es importante Ubicados en salas con control de acceso Las copias de seguridad poseen también información crítica Se deben almacenar en entornos con control de acceso Proceso de Instalación: En ubicaciones controladas Bajo la supervisión de administradores Utilizando procedimientos automatizados

Controladores de dominio Plantilla de seguridad
La mayoría de las directivas coincidirán con la Línea Base de Seguridad Mayores restricciones en los derechos de usuarios Inicio de sesión interactiva: Sólo administradores Inicio de sesión por TS: Sólo administradores Restauración: Sólo administradores Cambiar la hora del sistema: Sólo administradores Configuración servicios específicos: DFS DNS NTFRS KDC

Controladores de Dominio Medidas de Seguridad Adicionales
Reubicar los directorios de la base de datos y logs de Active Directory Incrementar el tamaño de los registros de eventos Asegurar el servicio DNS Utilizar actualizaciones dinámicas seguras Limitar las transferencias de zonas Bloquear puertos con IPSec

Asegurar un Servidor de Infraestructura
Servidores DHCP y WINS Se utilizará una plantilla de seguridad incremental específica para Servidor de infraestructuras Se configurarán manualmente las opciones adicionales

Servidor de Infraestructura Plantilla de seguridad
Heredará las directivas de la Línea Base de Seguridad Modificará los Servicios para incluir: Inicio y seguridad de los servicios DHCP y WINS

Servidor de Infraestructura Configuraciones adicionales
Es recomendable establecer las siguientes configuraciones adicionales: Configuración de registro (log) de DHCP Protección frente a DoS (80/20) Evitar perdida de servicio Usar cuentas de servicio: No privilegiadas Cuentas locales Protección de cuentas locales: Administrador Invitado Permitir tráfico sólo a puertos autorizados mediante filtros IPSec

Asegurar un Servidor de Archivos
Balanceo entre seguridad y facilidad de uso Basados en SMB o CIFS: Utilizan NetBIOS Proporcionar información a usuarios no autenticados

Servidor de Archivos Plantilla de seguridad
Heredará las directivas de la Línea Base de Seguridad Deshabilitar DFS y NTFRS si no son necesarios DFS: Sistema distribuidos de ficheros NTFRS: Replicación de ficheros

Servidor de Archivos Configuraciones adicionales
Utilizar ACLs para controlar el acceso: Sobre archivos y carpetas compartidos mediante NTFS Sobre los recursos compartidos Evitar: Todos/Control Total Uso de auditoria sobre archivos importantes: Perjudica el rendimiento Asegurar cuentas conocidas: Invitado Administrador Filtrado de tráfico mediante IPSec para permitir sólo puertos específicos

Asegurar un Servidor de Aplicaciones IIS
Se debe proteger cada servidor IIS y cada aplicación Se utilizará una plantilla incremental

Servidor de Aplicaciones IIS Plantilla de seguridad
Aplica las directivas de la Línea Base de Seguridad Permisos de usuario: “Denegar acceso a este equipo desde la red” Incluir: administrador local, Invitado, etc. Servicios para incluir: HTTP SSL IIS Admin W3C

Servidor de Aplicaciones IIS Configuraciones adicionales
Instalar sólo los componentes necesarios Habilitar sólo las extensiones necesarias Ubicar el contenido en volúmenes dedicados Evitar usar el volumen de sistema Establecer permisos NTFS Establecer permisos IIS sobre los sitios web Evitar permisos de ejecución y escritura en el mismo sitio web Evitar cuentas de servicio de dominio Asegurar cuentas conocidas: Invitado Administrador Filtrado de tráfico mediante IPSec para permitir sólo puertos específicos (80,443)

Entornos no Confiados Acercando los servidores al enemigo
Servidores en redes perimetrales Servidores DNS públicos Servidores de aplicación IIS Servidores de VPN Servidores en redes de acceso remoto Servidores de autenticación IAS

Entornos no Confiados Estrategias
Utilizar Servidores Independientes Cuentas locales Directivas de seguridad local Utilizar un bosque dedicado Permite utilizar cuentas de administración comunes Permite aplicar Directivas de Seguridad de Grupo Se utilizará un bosque separado del bosque interno, para evitar el compromiso de cuentas de usuarios internos

Servidores independientes Aplicación de plantillas de seguridad
Plantillas de seguridad para cada servidor o rol Aplicación local mediante herramientas “Configuración y Análisis de Seguridad” Permite la comparación y la aplicación de varias plantillas de seguridad “SecEdit” Línea de comandos Permite aplicar plantillas mediante scripts

Bosque dedicado Aplicación de políticas
Bosques independientes Permite una administración centralizada de la red perimetral

Bastionado Servidores con acceso público
Servidores expuestos a ataques externos. Minimizar la superficie de ataque. Normalmente uno de los siguientes roles Servidores de Aplicación IIS Servidores DNS Servidores SMTP Otros servicios de Internet: NNTP, FTP Servidores Independientes Política de seguridad muy restrictiva

Bastionado Política de seguridad
Derechos de usuario “Permitir el inicio de sesión local” Administradores “Denegar el acceso desde la red a este equipo” ANONYMOUS LOGON Administrador Support_388945a0 Invitado (* no el grupo Invitados) El resto de cuentas de servicio que no son del SO

Servicios deshabilitados Todos los de la Línea Base y algunos más: Actualizaciones automáticas Administrador de acceso remoto Cliente DHCP Examinador de equipos (Computer Browser) Proveedor de compatibilidad de seguridad LM con Windows NT Registro Remoto Servidor Servicios de Terminal Services TCP/IP NetBIOS Helper Service NetBIOS sobre TCP/IP

Servicios habilitados Sólo los servicios imprescindibles Correspondiente al rol “SMTP”, “W3C” Administrador de cuentas de seguridad Inicio de sesión en red (Netlogon) Estación de trabajo

Bastionado Configuraciones adicionales
Deshabilitar los protocolos innecesarios Cliente para redes Microsoft Compartir impresoras y archivos para redes Microsoft NetBIOS sobre TCP/IP Asegurar las cuentas conocidas Invitado Administrador Bloqueo de puertos mediante IPSec

Bastionado Filtrado IPSec
Filtros para tráfico permitido y bloqueado No se produce ninguna negociación real de las asociaciones de seguridad de IPSec Los filtros se solapan: la coincidencia más específica determina la acción No proporciona filtrado de estado Desde IP A IP Protocolo Puerto de origen Puerto de destino Acción Cualquiera Mi IP de Internet N/D Bloquear TCP 80 Permitir

Demostración Aplicación de la plantilla de seguridad de bastionado Aplicación de la plantilla de seguridad a un servidor independiente

Servidor de Aplicaciones IIS Reforzar la seguridad
Se aplican las recomendaciones anteriores para entornos de confianza Servidores independientes si no se necesitan cuentas de dominio Bosque separado del interno Utilizar configuraciones avanzadas de IIS 6.0: Aislamiento de aplicaciones Cuentas con el menor privilegio

Servidor de Aplicaciones IIS Aislamiento de aplicaciones
Incrementar la seguridad en servidores IIS compartidos por varias aplicaciones Los usuarios y aplicaciones de un sitio no pueden leer el contenido de otro Asignar aplicaciones a diferentes “grupos de aplicación”

Servidor de Aplicaciones IIS Aislamiento de aplicaciones
Asignar identidades únicas: A cada grupo de aplicación Al usuario anónimo de cada sitio Añadir la identidad de cada “grupo de aplicación” al grupo IIS_WPG Asignar permisos NTFS para el contenido de cada aplicación

Servidor de Autenticación IAS RADIUS
Utilizado para autenticar a los clientes externos Acceso remoto Clientes wireless Expuestos a ataques externos Deshabilitar los elementos innecesarios

Windows Server 2003 Security Guide Objetivos de diseño
Proporcionar guías para: Usuarios finales Administradores de Sistemas Administradores de Seguridad Estas guías son: Guías probadas en entornos reales Diseñadas para preocupaciones reales de seguridad Apropiadas para situaciones reales

Windows Server 2003 Security Guide Plantillas de seguridad
Plantillas para tres escenarios: “Legacy templates”: predomina la compatibilidad sobre la seguridad “Enterprise templates”: apropiadas para la mayoría de los entornos “High-security”: mayor restricción de seguridad, sin compatibilidad

Resumen

Asegurar Windows Server 2003 Estrategia
Diferenciar los servidores por su criticidad, ubicación y rol. Estrategia de Defensa en Profundidad. Implementar políticas de seguridad basadas en la guía de recomendaciones “Windows Server 2003 Security Guide”

Diseño de Active Directory Estrategia
Los Bosques establecen los Límites Reales de Seguridad. Diferenciar los Roles de Administración Utilizar Unidades Organizativas para Delegar Administración y aplicar Directivas de Grupo

Servidores en Entornos Confiados Estrategia
Establecer Directiva de Grupo de Dominio Crear una Línea Base de Seguridad Común Afinar con Directivas de Grupo para cada Rol de Servidores

Servidores en Entornos no Confiados Estrategia
Utilizar Servidores Independientes si es posible Aplicar Directivas Locales para cada Servidor Utilizar Filtros IPSec para reducir la Superficie de Ataque

Preguntas y respuestas

Para obtener más información
Sitio de seguridad de Microsoft Sitio de seguridad de TechNet (profesionales de IT) Sitio de seguridad de MSDN (desarrolladores)

Barcelona 4 Mayo 2004

Santiago Núñez Consultor Técnico Microsoft

Presentaciones similares

Presentación del tema: "Santiago Núñez Consultor Técnico Microsoft"— Transcripción de la presentación:

Presentaciones similares

Sobre el proyecto

Feedback

Iniciar la sesión

Autorizarse a través de una red social:

Santiago Núñez Consultor Técnico Microsoft

Presentaciones similares

Presentación del tema: "Santiago Núñez Consultor Técnico Microsoft"— Transcripción de la presentación:

Presentaciones similares

Sobre el proyecto

Feedback