Download Juan Luis García Rambla MVP Windows Security Consultor

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
page
13
page
14
page
15
page
16
page
17
page
18
page
19
page
20
page
21
page
22
page
23
page
24
page
25
page
26
Document related concepts
no text concepts found
Transcript 
Juan Luis García Rambla
MVP Windows Security
Consultor Seguridad y Sistemas
jlrambla@informatica64.com
Fortificación de
Servicios
Usuario
► Reducir
el tamaño de
capas de riesgo
Admin
S
•
Segmentación de
servicios
Services
S
•
Incrementar el número
de capas
D Drivers de Kernel
S Servicios de Sistema
Servicio
…
S
Servicio
A
Servicio
…
Kernel
Servicio
1
S
D D
Servicio
D
2
Servicio
S
3
Servicio
Servicios Restringidos B
S Servicios de privilegios bajos
D Drivers en modo usuario
S
D D D
Aplicaciones
sin privilegios
►Los
Servicios de Windows Services fueron
una gran superficie de ataque debido a sus
privilegios y a que estaban siempre activos
►Mejoras:
¾SID
(per-service
Security
Identifier)
reconocidos en ACLs (Access Control Lists),
para que los servicios puedan proteger sus
recursos
¾Política
de Firewall que prohíben el acceso de
red por servicio, sujeto a ACLs y SIDs
►Mejoras:
¾Quitar
a los
innecesarios
servicios
los
privilegios
¾Cambio
de “LocalSystem” a “LocalService” o
“NetworkService” cuando es posible
¾Uso
de testigos con restricciones de escritura
para los procesos de los servicios
► Controla
► Evita
y aísla los servicios en la máquina local.
problemas de seguridad derivados de la ejecución
en Sesión 0 los servicios y sistema con los usuarios.
►MIC
agrega un sistema adicional para el
control de integridad.
►Asigna
integridad a ficheros, carpetas y
procesos.
►Existen
4 niveles de Integridad:
¾Sistema.
¾Alto.
Permisos administrativos
¾Medio.
¾Bajo.
Por defecto para los usuarios.
Solo puede escribir en zonas reservadas
de integridad baja.
►Implementa
los niveles de integridad en
procesos determinados
►Proporciona
el mecanismo par evitar ataques
de elevación de privilegios.
►Evita
que una aplicación pueda llamar a una
aplicación de mayor integridad.
¾Inyección
¾Hooking
¾Shatter
de código.
de procesos.
Attack (envío de mensajes a un
proceso de mayor integridad).
►Previene
y controla la ejecución de sentencias
en segmentos de la memoria definidos.
►Bloquea
la manipulación de servicios y
aplicaciones de sistema, críticos frente a
aplicaciones maliciosas.
►Puede
hacerse extensible a todas las
aplicaciones.
►Se
modifica a través del sistema de arranque
mediante BCDEDIT.
Network Access
Protection
►Network
Access Protecction (NAP) es uno de
los elementos más destacados de Windows
Server 2008
►Se
engloba dentro de las tecnologías
emergentes de Control de Acceso a la Red
(NAC)
►Permite
controlar los aspectos de seguridad
que deben cumplirse para poder tener acceso
a la red corporativa
►Da
solución a la cada vez mayor complejidad
de control de los elementos de seguridad
individuales de cada equipo (actualizaciones
de sistema, actualizaciones de antivirus,
firewall etc.)
►Basado
en tecnologías existentes:
¾VPN
¾802.1X
¾IPSEC
¾Terminal
Services
¾DHCP
►Políticas
controladas mediante NPS (Network
Policy Server)
Servidores de
Validación de salud
3
1
2
No Cumple
la Política
Cliente
Windows
4
Red
Restringida
MSFT NPS
Dispositivo Intermedio
(DHCP, VPN, HRA, Punto de
Acceso, Switch/Router )
Servidores de
remedio
Cumple la
Política
1.
El cliente solicita acceso a la red y muestra su estado de salud.
2.
El dispositivo intermedio envía el estado de salud al servidor NPS
3.
El servidor NPS contrasta el estado de salud del cliente con un
servidor de validación de salud (como un servidor antivirus)
4.
Si el cliente cumple la política accede a la red corporativa, si no la
cumple solo se le concede acceso a un grupo de servidores de
remedio
Red Corporativa
4
►Arquitectura
de cliente:
•
Servidor de remedio
•
System Health Agent (SHA)
•
Enforcement Client (NAP EC)
•
NAP Agent
Windows XP SP3, Windows Vista y Windows
Server 2008 incluyen el cliente NAP
►Arquitectura
de servidor:
•
Health Requirement Server
•
System Health Validator (SHV)
•
NAP Administration Server
•
Servicio NPS
•
NAP Enforcement Server (NAP ES)
►Es
el servidor RADIUS de Microsoft
►Sustituye
a IAS de versiones anteriores de
Windows
►Integrado
con Directorio Activo
►Autentica
clientes de dispositivos compatibles
►Centraliza
en un solo punto la autenticación de
diferentes entornos (servidores RRAS, VPN,
802.1x etc.)
►Puede
servir como gateway hacia otros
servidores RADIUS o NPS
►Presenta
formato de administración MMC 3.0
►Descripción
¾ Servidor
de los servicios de rol de NPS
de directiva de redes (NPS)
Es el elemento de gestión de políticas RADIUS y de Network Access
Protection
¾ Enrutamiento
y acceso remoto (RRAS)
El servicio RRAS para administración de VPNs, protocolos de
enrutamiento etc.
¾ Autoridad
de registro de mantenimiento (HRA)
Servicio HTTP para la solicitud de certificados de mantenimiento para
NAP con IPSEC
¾ Protocolo
de autorización de credenciales de host (HCAP)
Servicio que permite integrar NAP de Microsoft con soluciones NAC de
Cisco Systems
Bitlocker
►Tecnología
que proporciona mayor seguridad
utilizando “Trusted Platform Module” (TPM)
¾Integridad
¾Protege
en el arranque
los datos si el sistema esta “Off-line”
¾Facilidad
para el reciclado de equipos
►Trusted
Platform Module (TPM) v1.2 Hardware
integrado en el equipo. Ejemplo- Un Chip en la
Placa Base
¾Almacena
credenciales de forma segura, como
la clave privada de un certificado de maquina
¾Capacidad
de cifrado. Tiene la funcionalidad
de una SmartCard
¾Se
usa para solicitud de firma digital de código
o ficheros y para autenticación mutua de
dispositivos
►Firmware
(BIOS Convencional o EFI BIOS) –
Compatible con TCG
¾Establece
la cadena de confianza para el prearranque del SO
¾Debe
de soportar las especificaciones TCG
“Static Root Trust Measurement” (SRTM)
►Ver:
www.trustedcomputinggroup.org
►BDE
cifra y firma todo el contenido del Disco
Duro
►El
chip TPM proporciona la gestión de claves
►Por
lo tanto
¾Cualquier
modificación de los datos, no
autorizada realizada “off-line” es descubierta y
el acceso es denegado
9Nos
previene de ataques que utilizan herramientas
que acceden al disco duro cuando Windows no se
esta ejecutando.
¾Protección
contra el robo de datos cuando se
pierde o te roban el equipo
¾Parte
esencial del arranque seguro
El Volumen del SO contiene:
• SO cifrado
• Ficheros de Paginación cifrados
• Ficheros temporales cifrados
• Datos Cifrados
• Fichero de hibernación cifrado
MBR
La partición de sistema
contiene:
Utilidades de Arranque
(Sin cifrar, ~450MB)
Suscripción gratuita en technews@informatica64.com
http://www.microsoft.com/spain/seminarios/hol.ms
px
Related documents
la tecnología entra acción trusted platform module las
la tecnología entra acción trusted platform module las
Trusted Platform Module (TPM)
Trusted Platform Module (TPM)
Neumonia relacionada con cuidados de la salud
Neumonia relacionada con cuidados de la salud
Windows - Microsoft Center
Windows - Microsoft Center
Tesis previa a la obtención del Título de Ingeniero
Tesis previa a la obtención del Título de Ingeniero
windows-server-2008r2
windows-server-2008r2
capitulo iv - Repositorio UTN
capitulo iv - Repositorio UTN
Windows server 2008
Windows server 2008
ONSS SpA ONs2 - OPTICAL NETWORKING SOLUTIONS and
ONSS SpA ONs2 - OPTICAL NETWORKING SOLUTIONS and
Instalación Del Sistema Operativo Windows Server 2003.
Instalación Del Sistema Operativo Windows Server 2003.
Sistemas operativos
Sistemas operativos
Conceptualización, diseño e implementación de infraestructura de
Conceptualización, diseño e implementación de infraestructura de
El sistema operativo GNU/Linux y sus herramientas libres en
El sistema operativo GNU/Linux y sus herramientas libres en
Los estudiantes mediante una guía de observación elaborada y
Los estudiantes mediante una guía de observación elaborada y