1 / 33

{ Seguridad }

{ Seguridad }. José Parada Gimeno Chema Alonso ITPro Evangelist MVP Windows Security Microsoft Corporation Informática64. Agenda. Mejoras en la seguridad del Sistema Operativo Protección del sistema Offline ( Bitlocker ) Arranque seguro ( Bitlocker ) Integridad en el código del SO

sona
Télécharger la présentation

{ Seguridad }

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. {Seguridad} José Parada Gimeno Chema Alonso ITPro Evangelist MVP Windows Security Microsoft Corporation Informática64

  2. Agenda • Mejoras en la seguridad del Sistema Operativo • Protección del sistema Offline (Bitlocker) • Arranque seguro (Bitlocker) • Integridad en el código del SO • Fortificación de los servicios • Control sobre las Cuentas de Usuario (UAC) • Control sobre la instalación de dispositivos removibles • Mejoras de Seguridad en Red • TSGateway, NAP, VPN SSL • Windows Firewall con Seguridad Avanzada e IPSec • Mejoras en la seguridad del Dominio (DA) • Auditoria de los servicios de Directorio Activo • Controlador de Dominio de Solo-Lectura (RODC) • Enterprise PKI • SQL Server 2008

  3. Bitlocker Drive Encryption • Conjunto de funcionalidades que nos proporcionan: • Protección cuando el sistema esta Offline mediante el cifrado completo del contenido de los Discos Duros • Protección durante el Arranque del Hardware (Imprescindible TPM) • Si sólo quiero utilizar el Cifrado del Disco duro y no tengo TPM, necesito una BIOS que soporte arranque desde dispositivos USB. ** • El chip TPM valida la integridad del arranque de la máquina y proporciona la gestión de claves.

  4. Cifrado completo del DiscoBitLocker™ Drive Encryption (BDE) • BDE cifra y firma todo el contenido del Disco Duro • Por lo tanto • Cualquier modificación de los datos, no autorizada realizada “off-line” es descubierta y el acceso es denegado • Nos previene de ataques que utilizan herramientas que acceden al disco duro cuando Windows no se esta ejecutando. • Protección contra el robo de datos cuando se pierde o te roban el equipo • Útil para el reciclado seguro de equipos

  5. ArquitecturaArranqueSeguroStatic Root of Trust Measurement of early boot components CRTM PCR PCR PCR PCR PCR = Platform Configuration Register PCR CRTM=Core Root of Trust Measurement

  6. 3 4 TPM VMK 2 1 FVEK DATA ¿Cómo funciona? ¿Donde esta la clave de cifrado? Los datos de cifran con la FVEK La FVEK se cifra con la VMK (VolumeMaster Key) y se almacena en los metadatos del volumen. La VMK es cifrada por uno o mas protectores de la clave, y se almacena en los metadatos del volumen. El TrustedPlatform Module no descifrará la VMK si la integridad del sistema falla. (Full-Volume Encryption Key) Volume Meta-Data(Existen tres copias redundantes)

  7. 3 4 TPM VMK 2 1 FVEK DATA ¿Cómo funciona? ¿Donde esta la clave de cifrado? Los datos de cifran con la FVEK La FVEK se cifra con la VMK (Volume Master Key) y se almacena en los metadatos del volumen. La VMK es cifrada por uno o mas protectores de la clave, y se almacena en los metadatos del volumen. El Trusted Platform Module no descifrará la VMK si la integridad del sistema falla. Llave USB(Recuperación o no-TPM TPM+PIN TPM+USB 123456-789012-345678- Recovery Password(48 Digitos)

  8. SQL Server 2008:Cifrado de DatosTransparente (TDE) • Cifrado/descifrado a nivel de Base de DatosutilizandoDatabase Encryption Key (DEK) • DEK escifradamediante: • Service Master Key • EKM • DEK debe ser descifradaparapoderrealizaroperacionescomo attach de bases de datos o recuperación de backups. SQL Server 2008 DEK Encrypted data page Client Application

  9. TDE Escenarios Sin la clave necesario o HSM paradescifrar la DEK, la base de datos no puede ser utilizada.

  10. SQL Server 2008:Gestión de Claves Extensible (EKM) • Almacenamiento de claves de cifrado y gestiónrealizadapordispositivosexternos (Hardware Security Module, o HSM) • Cifrado/Descifradorealizadosobre los HSM. • Nuevo interfaz SQL External Key Management (SQLEKM) para el controlador (driver). SQL EKM Driver

  11. Integridad en el Código del SO IProtección a los ficheros del SO • Valida la integridad del proceso de Arranque • Chequea el Kernel, la HAL y los drivers del inicio. • Si la validación falla, la imagen no se carga. • Valida la integridad de la imagen de cada binario • Implementado como un driver de filtro de sistema • Chequea el hash de cada página según se carga • Chequea cualquier imagen que se carga contra un proceso protegido • Los Hashes se almacena en el catalogo de sistema o en un certificado X.509 embebido en el fichero

  12. Integridad en Código del SO IIFirmado de los drivers de Terceros • No confundir la validación de hashes con las firmas

  13. {Catalogo del Sistema}{Firma de Drivers} demo

  14. Code Windows Code Library Code Application Code Protección de la Memoria Data ExecutionProtectionAddressSpaceLayoutRandomization • DEP Stack Locals ASLR LoadLibrary() Return Address Parameters Previous Frames

  15. Fortificación de los Servicios • Los Servicios de Windows fueron una gran superficie de ataque debido a sus privilegios y a que estaban siempre activos. • Mejoras: • Se ejecutan en laSesión0, mientras que la GUI de usuario y las aplicaciones lo hacen en Sesion1 • SID (per-service Security Identifier) reconocidos en ACLs (Access Control Lists), para que los servicios puedan proteger sus recursos • Política de Firewall que prohíben el acceso de red por servicio, sujeto a ACLs y SIDs • Descomposición de los privilegios innecesarios por servicio • Cambio de “LocalSystem” a “LocalService” o “NetworkService” cuando es posible • Uso de testigos con restricciones de escritura para los procesos de los servicios

  16. Control sobre las cuentas de Usuario I • Hace que el sistema funcione bien como un usuario estándar • Proporciona un método seguro para ejecutar aplicaciones en un contexto elevado • Requiere marcar las aplicaciones que no sean UAP • Deja claro las acciones que tienen un impacto en todo el equipo • Virtualización del registro y ficheros para proporcionar compatibilidad. • Escrituras en el registro de la maquina son redirigidas a localizaciones de usuario si el usuario no tiene privilegios administrativos • Efectivamente: cuentas estándar pueden ejecutar aplicaciones que necesitan cuentas de administración de manera segura.

  17. {Control Cuentas de Usuario} demo

  18. Fortificación de ServidorControl sobre la instalación de Dispositivos • Habilidad para bloquear la instalación de cualquier nuevo dispositivo • Se puede desplegar un servidor y no permitir que se instalen nuevos dispositivos • Establecer excepciones basadas en ID o clase de dispositivo • Permite que se añadan teclados y ratones pero nada mas • Permite IDs específicos • Configurable vía Políticas de Grupo • Establecido a nivel de Equipo.

  19. {Control Instalación dispositivos USB}

  20. NAP: Acceso basado en políticas • Validación de Políticas: Determina si los equipos cumplen con la política de seguridad de la organización. A los que cumplen se les estima como “Saludables”. • Restricciones de Red: Restringe el acceso a la red a los equipos en función de su salud. • Remediación: Provee las actualizaciones necesarias para permitir que un equipo se vuelva saludable. Una vez que esto ocurre, se le quitan las restricciones de red. • Cumplimiento sobre la marcha: Los cambios en la política de seguridad de la organización o en la salud de los equipos pueden provocar restricciones de red.

  21. Servidor de Políticas Fix Up Servers e.g. Patch MSFT NPS RedRestringida DHCP, VPN Switch/Router 1 El cliente solicita acceso a la red y presenta su estado de salud actual Red Corporativa 2 3 DHCP, VPN o Switch/Router envía el estado de salud al Servidor de Políticas de Red (RADIUS) El Servidor de Políticas (NPS) valida contra la política de salud definida por IT Si no cumple la política el cliente solo tiene acceso a una VLAN restringida donde hay recursos para solucionar sus problemas, descargar actualizaciones, firmas(Repetir 1-4) 4 5 Si cumple la política al cliente se le permite el acceso total a la red corporativa Network Access ProtectionFuncionamiento 3 1 2 No Cumplela Política 4 ClienteWindows Cumple laPolítica 5

  22. Opciones de Forzado

  23. {Configuración NAP} demo Name Title Group

  24. Despliegue • Planificación de Requerimientos • Definir la política de salud requerida • Definir los métodos de forzado requeridos • Planificar la arquitectura NAP • Planificar las excepciones • Definir roles y responsabilidades • Fases del despliegue • Pruebas en Laboratorio • Piloto • Modo de Reporte • Forzado diferido • Forzado

  25. VPN con SSL – SSTP • SSTP= Secure Socket TunnelingProtocol • Una nuevo tunel VPN que permite pasar trafico por firewalls y proxy que bloquean trafico PPTP y L2TP/IPsec. • Un mecanismo para encapsular trafico PPP por el canal SSL del protocolo HTTPS. • Al usar trafico HTTPS el trafico va por el puerto 443. • Solo soportado por Windows 2008 y Windows Vista Service Pack 1

  26. Consideraciones SSTP • El servidor necesita un certificado. • El cliente necesita consultar la CLR para saber si el certificado del servidor esta al día y por tanto la CRL debe de estar publicado y accesible para el cliente. • Si se cambia el certificado en el servidor SSTP hay que realizar el cambio mediante el comando netsh.

  27. Intelligent Application Gateway • VPN SSL • Comprobación • Cliente • PolíticaApplicaión • Ubicación Edge

  28. La “Sin” de Microsoft • http://secunia.com/product/6782/

  29. SQL Sever 2008 :Authentication Enhancements • SQL Server 2005 • Posibilidad de usar Kerberos solo con conexiones TCP/IP • SPN debenregistrarse en el AD • SQL Server 2008 • Posibilidad de usar Kerberos con todos los protocolos • SPN puede ser especificado en la cadena de conexión (OLEDB/ODBC) • Posibilidad de utilizar Kerberos sin tener el SPN registrado en el AD

  30. Recursos • Guía paso a paso W2K8 • http://www.microsoft.com/downloads/details.aspx?familyid=518D870C-FA3E-4F6A-97F5-ACAF31DE6DCE&displaylang=en • Librería Técnica • http://technet2.microsoft.com/windowsserver2008/en/library/61d24255-dad1-4fd2-b4a3-a91a22973def1033.mspx?mfr=true • Foro de Seguridad W2K8 • http://forums.microsoft.com/TechNet/ShowForum.aspx?ForumID=581&SiteID=17

  31. Recursos TechNet • TechCenter de Windows Server 2008 http://www.microsoft.com/spain/technet/prodtechnol/windowsserver/2008/default.mspx • Próximos webcasts en vivo http://www.microsoft.com/spain/technet/jornadas/default.mspx • Webcasts grabados sobre Windows Server http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx?id=1 • Webcasts grabados otras tecnologías Microsoft http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx • Foros técnicos http://forums.microsoft.com/technet-es/default.aspx?siteid=30

  32. Informática 64 Chema Alonoso Microsoft MVP Windows Security chema@informatica64.com http://elladodelmal.blogspot.com

More Related