1 / 36

Fortificación de Ms SharePoint Server 2010

Código: HOL-SEG45. Fortificación de Ms SharePoint Server 2010. Rubén Alonso Cebrián ralonso@informatica64.com. Fortificación de la arquitectura Modelo de seguridad en SharePoint Planes de respaldo Gestión de la auditoría Protección contra fugas de datos Publicación segura. Agenda.

sileas
Télécharger la présentation

Fortificación de Ms SharePoint Server 2010

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Código: HOL-SEG45 Fortificación de Ms SharePoint Server 2010 Rubén Alonso Cebriánralonso@informatica64.com

  2. Fortificación de la arquitectura • Modelo de seguridad en SharePoint • Planes de respaldo • Gestión de la auditoría • Protección contra fugas de datos • Publicación segura Agenda

  3. Fortificación de la arquitectura

  4. Fortificación de sistemas • Dependiente del rol/roles a desempeñar por el sistema, se realizaran configuraciones ajustadas aplicando las reglas de fortificación: • MPE (Mínimo Punto de Exposición): Un sistema deje ejecutar sólo aquel software imprescindible para el desempeño de sus funciones • MPP (Mínimo Privilegio Posible): Todos los componentes de un sistema deben ser ejecutados con los privilegios mínimos imprescindibles • DeP (Defensa en Pronuncidad): Un sistema debe aplicar tantas medidas de seguridad como pueda, asumiendo que todas las anteriores han fallado, siempre y cuando una medida de seguridad no anule a otras y la disponibilidad del sistema no se degrade

  5. Administrador del servidor • Servidores de Microsoft configurados en base a roles mediante la herramienta Server Manager • Aplica el principio del Mínimo Punto de Exposición • No configura reglas de firewall, opciones de seguridad en servicios o configuraciones de registro ajustadas a la seguridad

  6. Asistente de Configuración de Seguridad • Disponible para plataformas Windows Server 2003 o superior a partir de SP1 • Configuración automática del sistema en función de los roles que se ejecuten • Reduce la superficie de ataque mediante conjuntos de preguntas al usuario por el entorno que se desea obtener para determinar los parámetros de seguridad • Se encarga de: • Deshabilitar servicios innecesarios • Desactiva extensiones web innecesarias en IIS • Bloque de puertos no utilizados y apertura de puertos segura utilizando IPSec • Configura parámetros de auditoría (acciones y resultados auditados en el registro de eventos) • Importa plantillas de seguridad existentes • Reduce la exposición del protocolo para LDAP, NTLM y Server Message Block • Plantillas de reducción de superficie en entornos SharePoint para el asistente de configuración de seguridad mediante Microsoft SharePoint 2010 Administration Toolkit v1.0 (http://www.microsoft.com/downloads/en/details.aspx?FamilyId=718447d8-0814-427a-81c3-c9c3d84c456e&displaylang=en)

  7. Demo: Asistente de Configuración de Seguridad

  8. Microsoft Baseline Security Analyzer • Herramienta de auditorías de seguridad • Detecta fallos o deficiencias en las actualizaciones de seguridad o en apartados que inciden directamente en SharePoint como: • Seguridad en el sistema Windows • Seguridad en Internet InformationServices • Seguridad en SQL Server • Configuraciones administrativas

  9. Demo: Microsoft Baseline Security Analyzer

  10. Monitorización de servicios • Control de arquitecturas SharePoint mediante System Center Operations Manager (SCOM) • Microsoft SharePoint Foundation Management Pack for SCOM 2007 • Microsoft SharePoint 2010 Management Pack for SCOM 2007 • SCOM incorpora un asistente de monitorización de sitios que permite: • Realizar conexiones periódicas entre distintos equipos desde distintos lugares de la organización verificando y comprobando la accesibilidad y su estado funcional • Monitorización de los intervalos de respuesta obtenidos • Control de servidores en ubicaciones o sitios geográficos dispersos mediante la gestión de aplicaciones distribuidas

  11. Actualizaciones periódicas • Plan de actualizaciones periódicas mediante el rol Windows Server UpdateServices (WSUS) • Monitorización a través de políticas de grupo del estado de salud en cuanto a actualizaciones se refiere • Entornos más avanzados como System Center Configuration Manager (SCCM) permiten la opción de un despliegue forzado de actualizaciones

  12. Modelo de seguridad en SharePoint

  13. Cuentas administradas • Se incorpora la gestión de cuentas administradas con cambios de contraseñas automático • Administración más coherente de cuentas utilizadas en los grupos de aplicaciones o servicios de SharePoint

  14. Seguridad en aplicaciones web • Directiva de usuario de aplicación web • Permiten administrar los permisos que se aplicarán sobre una determinada aplicación web a usuarios o grupos • Útil para establecer que distintos usuarios o grupos de seguridad obtengan diferentes niveles de acceso a través de una zona a todas las colecciones de sitios dentro de una aplicación web • Métodos de autenticación • Autenticación en modo clásico • Permite el uso de proveedores de autenticación Windows • Anónima, básica, NTLM, implícita, certificados, negociación (kerberos) • Autenticación basada en notificaciones • Basada en Microsoft Windows Identity Foundation (WIF) • Permite el uso de proveedores de autenticación Windows, autenticación basada en formularios (FBA) y autenticación basada en tokenSAML permitiendo el uso de: • Servicios de federación de Active Directory • Windows Live ID • Proveedores de identidad de terceros

  15. Servicio de almacenamiento Seguro • Aplicación de servicio que sustituye a la característica de inicio de sesión único existente en la versión anterior • Configuración requerida para proporcionar soporte a otras aplicaciones de servicio que requieran de credenciales de acceso a orígenes de datos externos • Se utiliza una base de datos segura donde se almacenan identificadores de aplicación para ser recuperados en el acceso a los orígenes de datos

  16. Privilegios de acceso • Privilegios de acceso a la granja • Administrador de la granja de servidores • Administrador de la aplicación de servicio • Privilegios de acceso al contenido • Permisos de usuario de la aplicación web • Administrador de la colección de sitios • Modelo de seguridad de una colección de sitios • Usuarios y grupos • Niveles de permisos • Acceso anónimo

  17. Características de seguridad • Integración con RMS • Cuentas de servicio • Tipos de archivos bloqueados • Manejo de archivos en el explorador • HTTP X-Download-options:noopen • Analizador de salud de SharePoint • Métricas de seguridad • Confianza • Certificados

  18. Demo: Modelo de seguridad en SharePoint

  19. Planes de respaldo

  20. Copias de seguridad • Copia de seguridad del conjunto de servidores • Panel de disponibilidad: • Indicadores visuales que nos advierten de si podemos realizar una copia de seguridad con éxito • Copia de seguridad de servicios: • Servicios de Excel, servicios de Formularios de Infopath, etc … • Limpieza de trabajos de copia de seguridad automática • Parámetros preconfigurados • Nº de subprocesos • Ubicación de la copia de seguridad • Copia de seguridad mediante PowerShell

  21. Copias de seguridad • Copia de seguridad pormenorizada • Copia de seguridad de una colección de sitios • Exportación de sitios o listas mediante entorno gráfico • La exportación de sitios o listas permite elegir: • Exportar el modelo de seguridad • Exportar la información de versiones

  22. Demo: Copia de seguridad

  23. Gestión de auditorías

  24. Gestión de auditorías • La gestión de contenido empresarial engloba: • Administración de documentos • Administración de registros • Administración de activos digitales • La administración de documentos engloba: • Navegación mediante metadatos • Control de versiones • Aprobación de documentos • Directivas de administración de la información • Encargadas de los registros de auditoría

  25. Gestión de auditorías • Directivas de administración de información • Auditorías • Códigos de barras • Retención • Etiquetas • Informes de uso de directivas • Informes de registros de auditoría • Configuración de auditoría de la colección de sitios • Registro de diagnósticos

  26. Demo: Configuración de auditoría

  27. Protección contra fuga de datos

  28. Protección contra fugas de datos • Riesgos de seguridad y privacidad asociados a los metadatos (Tony Blair in the butt) • Esquema Nacional de la Seguridad • Artículo 5.7.6 «Limpieza de documentos» • Prevención de Fuga de Datos (Data LostPrevention) mediante herramientas de limpieza de metadata • Microsoft Office XP, 2003: RemoveHidden Data ToolAdd-in • Microsoft Office 2007, 2010: Nativo mediante el menú Preparar • MetaShield Protector • Herramienta para la eliminación de datos ocultos en sitios web y arquitecturas SharePoint

  29. Protección contra fugas de datos Funcionamiento de MetaShield Protector: • MetaShield Protector “captura” las peticiones de ficheros al Servidor Web. • Recupera el contenido del fichero y lo limpia en memoria. • Sirve el fichero limpio al cliente

  30. Demo: Prevención de Fuga de Información

  31. Publicación Segura

  32. Publicación segura • Gestión antimalware y filtrado, protección de datos en tránsito o publicación segura mediante comprobación de seguridad en cliente mediante línea Forefront: • Protección antimalware con Forefront Protection for SharePoint 2010 (Antivirus) • Protección perimetral con Forefront Unified Access Gateway 2010 (Portal de autenticación unificado y comprobación de seguridad en el equipo cliente) • Protección con Forefront Threat Management Gateway 2010 (Firewall)

  33. Demo: Publicación segura con Forefront Protection 2010 paraSharePoit

  34. Información de interés • Punto compartido (http://www.puntocompartido.com/blogshare) • Informática 64 (http://www.informatica64.com) • SharePoint User Group Spain , SUGES (http://www.suges.es) • Microsoft SharePoint 2010: Seguridad (http://www.informatica64.com/libros.aspx)

  35. TechNews de Informática 64 Suscripción gratuita en technews@informatica64.com

  36. Contactos • Informática 64 • http://www.informatica64.com • i64@informatica64.com • +34 91 146 20 00 • Rubén Alonso Cebrián • ralonso@informatica64.com

More Related