Imagen abstracta de una mujer sentada en libros y estudiando en una computadora portátil

Microsoft Windows Server 2003 Y Windows 2000

Descargar como PPT, PDF
T
teddy666

El documento describe las mejoras de seguridad en Windows Server 2003 y Windows 2000, incluyendo características como relaciones de confianza mejoradas entre bosques de directorios activos, mejoras en PKI, permisos predeterminados más restrictivos, y la introducción del firewall de conexión a Internet y la cuarentena de acceso de red. También cubre temas como la importancia de la seguridad, la evolución de las amenazas a la seguridad y las cuentas y roles de servicio.

EducaciónTecnología
1 de 78
Descargado 156 veces
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
Características de Seguridad en entornos servidor Microsoft Windows Server 2003 y Windows 2000 Trabajo Presentado Por: GUSTAVO JUNIOR CHECALLA CHOQUE
¿Qué es TechNet? El recurso que ofrece la información técnica más completa para ayudar a los profesionales IT a evaluar, implantar, optimizar y dar soporte fácilmente a los productos Microsoft http://www.microsoft.com/spain/technet
¿Qué ofrece TechNet? Suscripción CD o DVD Nuevos Servicios para suscriptores (Chat support & Managed newsgroups support) Recursos online Información y documentación técnica sobre los productos de Microsoft Descargas de software Area de seguridad Participación en foros técnicos Videos Técnicos Online Chats y Webcast técnicos Newsgroups con técnicos de Microsoft Cases Studies: ejemplos empresariales reales Boletín informativo TechNet Flash Seminarios y jornadas técnicas Microsoft TechNet
Agenda Importancia de la Seguridad Mejoras de Seguridad en Windows Server 2003. Implementación de seguridad en Windows Server 2003 y Windows 2000
La Seguridad es una Preocupación de Todos. Proteger las estaciones de trabajo ha sido cada vez más difícil debido a gran número de razones y dificultades. Los Sistemas de las Empresas están Globalmente Conectados y son cada vez más Complejos. Los Ataques son cada vez más Sofisticados y Destructivos Es difícil mantenerse al día con las Actualizaciones de Seguridad
Impacto en la Empresa. De acuerdo con el informe denominado “Computer Crime and Security Survey” de 2001, realizado por el CSI (Computer Crime Institute) y el FBI: Pérdidas financieras Cuantificadas de al menos $377M, ó $2M por cada uno de los encuestados. El 40% detectó penetración en los sistemas desde el exterior; siendo un 25% en 2000 El 94% detectó virus informáticos; siendo un 85% in 2000 Fuente: Computer Security Institute (CSI) Computer Crime and Security Survey 2001 Fuente: InformationWeek.com, 10/15/01 Los Fallos de Seguridad Tienen Costes Reales
Érase Una Vez… (No Hace Tanto Tiempo) Mainframes conectados a “terminales tontos” . Era relativamente fácil establecer Seguridad. Mainframe
Se Introdujeron Nuevas Tecnologías… Arquitectura Cliente/Servidor. Se aumenta la Productividad y se está expuesto a nuevos niveles de riesgo. Servers Mainframe
Internet y la movilidad aumentan los riesgos de Seguridad… Servidores Clientes Mainframe
Evolución de las Amenazas Ataques desde dentro por usuarios “autorizados”. Corrupción de datos, pérdida de datos. Penetración de Hackers (generalmente inocuo) Amenazas anteriores, MÁS : Penetraciones maliciosas destructivas. Ataques de virus destructivos. Amenazas anteriores, MÁS : Caídas y Bloqueos de Sistemas. Manipulación y Robo de los Datos. Herramientas de Seguridad en el Kit de Recursos AutoSave Macro Security – preguntar antes de abrir Protección de clave en el SalvaPantallas. Soporte multi-usuario Limitado Herramientas y Características existentes, MÁS : Seguridad de Macros Multi-Nivel y firma de código. Seguridad de Adjuntos Multi-Nivel en Outlook. Encriptación de Documentos; Claves en los Documentos. Internet Connection Firewall con ISA Server Sistema de Ficheros Encriptados, PKI Seguridad a Nivel de Usuario, Group Policy Objects, Auditorías. Soporte para Smart Cards, Soporte Multi-usuario completo. 2000 2002 1997 Herramientas y Características existentes, MÁS : Seguridad en Outlook Multi-Nivel. Encriptación Advanzada. Herramientas de Gestión de la Seguridad Centralizadas. AutoRecovery Conectividad Wireless Integrada. Internet Connection Firewall integrado. Evolución de la Tecnología Windows XP y Windows 2003
La Seguridad es tan Fuerte como el Eslabón más Débil. La Tecnología no es ni el problema completo, ni la solución completa. Los Sistemas de Seguridad dependen de: Tecnología, Procesos y Personas.
Estándares, Encriptación, Protección Características de Seguridad en los Productos Herramientas y Productos de Seguridad Planificación de la Seguridad Prevención Detección Reacción Tecnología, Procesos, Personas Personal dedicado Formación Seguridad – mentalización y prioridad
Marco de la Seguridad: SD 3 +C Secure by Deployment Nuevas herramientas de gestión de parches. 7 Cursos disponibles en Microsoft Official Curriculum Guías de Configuración de Seguridad Oficiales. Herramientas de Seguridad integradas. Secure by Design Construir una arquitectura Segura Añadir características de Seguriad Revisión de código y tests de penetración. Secure by Default 60% menos en la superficie de ataque por defecto respecto a Windows NT 4.0 SP3 20+ servicios que no están por defecto. Instalación de Servicios en modo seguro (IIS 6.0 Lockdown) Communications Writing Secure Code 2.0 Webcasts de Architectura Conferencias como el IT Fourm
Agenda La importancia de la Seguridad Mejoras de Seguridad en Windows Server 2003.
Seguridad en Directorio Activo Relaciones de Confianza entre Bosques Permite a los Administradores crear relaciones de confianza externas “forest-to-forest” Autenticación entre Bosques Permite acceso seguro a los recursos cuando la cuenta del usuario está en un Bosque y la cuenta de máquina pertenece a otro Bosque. Autorización entre Bosques Permite a los Administradores seleccionar usuarios y grupos de Bosques de confianza para incluirlos en grupos locales o ACLs. IAS y Autenticación entre Bosques Si los Bosques del Dir. Activo están em modo “cross-forest” con relaciones de confianza bidireccionales, entonces IAS/RADIUS pueden autenticar la cuenta de usuario del otro Bosque.
Demo Relaciones de Confianza entre Bosques
Mejoras en PKI Soporte de Certificaciones Cruzadas. Plantillas de Certificados Personalizables (Versión 2) Delta CRLs Key Archival/Recovery Auto-enrollment Auditoría de las acciones del Administrador. Ref.: Windows Server 2003 PKI Operations Guide http://www.microsoft.com/technet/prodtechnol/windowsserver2003/maintain/operate/ws03pkog.asp
Mejoras en IIS Revisiones de código por parte de expertos en seguridad independientes No se instala por defecto Servidor en estado “bloqueado por defecto” Extensiones del servidor Web bloqueadas por defecto. Identidad de procesos de usuario configurables. Cuenta de servicios con pocos priviliegios
Permisos Permisos NFTS por defecto bloqueados: Antes: Everyone Full Control Ahora: Everyone , Read y Execute (Sólo en Root) Usuarios , Read and Execute , Create Folder , Create File SYSTEM , Creator , Administrators Full Control Permisos por defecto en Shares: Antes: Everyone Full Control Ahora: Everyone Read Nuevas Características: Herramienta de Permisos Efectivos Cambiar el Owner mediante GUI
Demo Interfaz de Usuario para los Permisos
Qué tiene en común todos estos Servicios? Alerter Clipbook Distributed Link Tracking (Server) Imapi CDROM Burning Service Human Interface Devices ICS/ICF Intersite Messaging KDC License Logging Manager Terminal Server Discovery Service Windows Image Acquisition Messenger NetMeeting NetDDE NetDDE DSDM RRAS Telnet Themes WebClient Windows Audio Inicio = Deshabilitado
Cuentas de Servicio del Sistema Local Service y Network Service No hay que gestionar passwords Se ejecuta con ligeramente más permisos que Authenticated User Local Service no se puede autenticar a través de la red, Network Service se autentica como la cuenta de máquina. Local System No hay que gestionar passwords Se salta los chequeos de seguridad Cuentas de Usuario Se ejecuta con menos privilegios que Local System Almacena el password como un LSA secret Pueden ser complejas en la configuración
Internet Connection Firewall Apareció incialmente en Windows XP Se habilita en cada interfaz Soporta LAN, Wireless, RAS Elimina por defecto todo el tráfico IP de entrada Bloquea por defecto el tráfico ICMP Se pueden crear reglas para permitir el acceso a servicios Puede registrar peticiones aceptadas y rechazadas.
Nuevas Caracterísitcas de IPSec Gestión IP Security Monitor Gestión en línea de comando con Netsh Direcciones lógicas para configuración IP local Seguridad Criptografía más Robusta (Diffie-Hellman) Seguridad en el Inicio del Sistema Política persistente. Interoperabilidad Funcionalidad de IPSec con (NAT) Integración mejorada de IPSec con NLB
Reglas de Excepción por defecto en IPSec Se almacenan en el Registro: HKLM\SYSTEM\CurrentControlSet\Services\IPSEC\NoDefaultExempt X X IKE Multicast Broadcast RSVP IKE Kerberos Multicast Broadcast IKE RSVP IKE Kerberos IKE Multicast Broadcast RSVP IKE Kerberos Multicast Broadcast 3 2 1 0 Valores de NoDefaultExempt
Seguridad de Inicio de IPSec Demo
Network Access Quarantine para RRAS
Qué es Network Access Quarantine? El cliente Remoto se Autentica El Cliente RAS cumple la política de Cuarentena El cliente RAS consigue acceso total a la red Cliente RAS desconectado El cliente RAS no cumple la política de Cuarentena Se alcanza el timeout de Cuarentena Cliente RAS puesto en Cuarentena
Qué son las reglas de política? Las reglas de política de Cuarentena son configurables, las reglas comunes pueden incluir : Service packs ó los últimos hotfixes instalados Software Antivirus instalado Ficheros de firmas de detección de Virus actualizados. Routing deshabilitado en el cliente RAS Internet Connection Firewall habilitado Salvapantallas con protección de password habilitado.
Arquitectura de Cuarentena Internet Cliente RAS Servidor RRAS ServidorIAS RQC.exe y RQS.exe están en el Kit de Recursos de Windows Server 2003 Perfil CM Ejecuta script personalizable post-conexión El Script ejecuta notificador RQC con “cadena de resultados” Listener RQS recibe del notificador “cadena de resultados” Compara cadena con posibles resultados Elimina time-out si se recibe respuesta pero el cliente no está actualizado Quita la cuarentena si el cliente está actualizado. VSAs de Cuarentena MS-Quarantine-Session-Timeout MS-Quarantine-IPFilter Cuarentena
Proceso Detallado Internet Cliente RAS Servidor RRAS Servidor IAS Connect Authenticate Authorize Quarantine VSA + Normal Filters Policy Check Result Remove Quarantine Quarantine Access Full Access Quarantine
Políticas de Restricción de Software.
Qué hace SRP SRP puede: Controlar qué programas se pueden ejecutar en una máquina Permitir a los usuarios ejecutar exclusivamente ficheros específicos en máquinas con múltiples usuarios. Controlar si las políticas de restricción de software afectan a todos ó a usuarios específicos. Evitar que programas específicos se ejecuten en: Máquina Local Cualquier máquina en una OU, Site, ó Dominio
Políticas de Restricción de Software Dos modos: Disallowed, Unrestricted Control de código ejecutable: .ADE .ADP .BAS .BAT .CHM .CMD .CPL .CRT .EXE .HLP .HTA .INF .INS .ISP .JS .JSE .LNK .MDB .MDE .MSC .MSI .MSP .MST .PCD .PIF .REG .SCR .SCT .SHS .URL .VB .VBE .VBS .WSC .WSF .WSH
Contra qué no nos protege SRP Drivers u otro software en modo kernel No puede protegernos de SYSTEM Cualquier programa con cuenta SYSTEM. No puede protegernos de SYSTEM Macros dentro de documentos Microsoft Office 2000 ó Office XP. Utilizar opciones de seguridad de Macros Programas escritos para “common language runtime”. Estos programas utilizan “Code Access Security”
Tipos de reglas SRP Regla de Path Compara el path de un fichero contra una lista de paths permitidos Utilizar cuando se tiene una carpeta con múltiples ficheros de una aplicación. Regla Hash Compara el hash MD5 ó SHA1 de un fichero respecto del que se intenta ejecutar Utilizarlo cuando se quiere permitir/prohibir la ejecución de cierta versión de un fichero. Regla de Certificado Chequea la firma digital de las aplicaciones (i.e.Authenticode) Utilizar cuando se quiera restringir tanto aplicaciones win32 como contenido ActiveX Regla de Zona Internet Controla cómo se puede acceder a Zonas de Internet Utilizar en entornos de alta seguridad para controlar el acceso a aplicaciones web
Precedencia de las Reglas Qué ocurre cuando un programa cumple varias reglas? Intentando ejecutar la calculadora Tiene precedencia la regla más específica: Hash rule Certificate rule Path rule Zone rule Disallowed c:\winnt\system32\calc.exe Unrestricted c:\winnt Disallowed A6A44A0E8A76C7B2174DE68C5B0F724D:114688:32771
Mejoras Generales
Mejoras Generales Cambio en la prioridad de búsqueda de DLL desde el directorio de trabajo a \windows\system32 Encriptación por defecto AES-256-bit en EFS El grupo Everyone ya no incluye usuarios anónimos (Users y Guests) Encriptación WebDAV Carpetas offline encriptadas
Mejoras Generales Soporte PEAP Delegación restringida Auditoría de seguridad detallada. Auditoría de inicio de sesión de cuentas habilitado por defecto. Integración DPAPI Fichero de Ayuda ampliado en temas de Seguridad
Las Personas son los Activos de más valor. Plantilla de Seguridad dedicada Grupo de Seguridad especializado Experiencia específica en seguridad Formación Formación en estándares, tecnologías, y procesos Contribución de todas las partes de la Organización. Conocimiento y cumplimiento de las directrices de la empresa para la seguridad física, políticas de passwords, procedimientos de acceso a datos.
Quarantine Whitepaper: Network Access Quarantine Whitepaper: http://www.microsoft.com/windowsserver2003/techinfo/overview/quarantine.mspx Software Restriction Policy http://www.microsoft.com/windows2000/technologies/security/redir-wnetsafer.asp Windows Server 2003 Resource Kit Tools Download: http://go.microsoft.com/fwlink/?LinkId=4544 Apéndice
Windows Server 2003 Security Configuration Guide Windows Server 2003 Security Guide http://go.microsoft.com/fwlink/?LinkId=14846 Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP http://go.microsoft.com/fwlink/?LinkId=15160
Implementación de Seguridad en el Servidor Windows 2000 y Windows Server 2003
Agenda Necesidad de Seguridad. Definición del Problema. Seguridad de Servidores. Seguridad del Dominio. Fortificación de Servidores Política para Servidores Independientes. Fortificación de Controladores de Dominio. Fortificación de Servidores según su Rol
Conocimientos Necesarios Experiencia en conocimiento relacionado con Seguridad de Windows 2000 ó 2003. Familiaridad con herramientas de Gestión de Windows. Familiaridad con Políticas de Grupo. Level 200
Agenda Necesidad de Seguridad. Definición del Problema. Seguridad de Servidores. Seguridad del Dominio. Fortificación de Servidores Política para Servidores Independientes. Fortificación de Controladores de Dominio. Fortificación de Servidores según su Rol
Necesidad de Seguridad Proteger Información Proteger los canales de información Minimizar paradas del servicio Proteger los beneficios. Evitar daño a la imagen Proteger los procesos de los trabajadores
Definición del Problema Pequeña y Mediana Empresa Los Servidores cumplen multitud de Roles. Servidores Limitados Recursos Disponibles Limitados Características de Disponibilidad de Servicio Limitada. Domain Controller SQL Server IIS Server File Server Print Server
Definición del Problema Pequeña y Mediana Empresa Amenaza Accidental Amenaza Interna Servidor Comprometido ó Fallido Afecta a múltiples Servicios Discover Request Acknowledge Offer
Definición del Problema Pequeña y Mediana Empresa Acceso a Internet Recursos Limitados para implementar Seguridad completa. Posibilidad de acceso malicioso a la red.
Definición del Problema Pequeña y Mediana Empresa Departamentos IT pequeños. No existe experiencia específica en Seguridad. Administrador del Dominio con algo de conocimiento en Seguridad. Soporte a Usuarios Poco conocimiento en Seguridad Soporte de Aplicaciones Algún Conocimiento de Seguridad de Aplicaciones.
Definición del Problema Pequeña y Mediana Empresa Utilización de Sistemas antiguos NO son posibles algunas configuraciones de Seguridad No se puede establecer comunicación SMB firmada digitalmente
Seguridad de Servidores Seguridad Física El acceso físico a los Servidores anula algunos procedimientos de Seguridad
Seguridad de Servidores Acceso Autorizado Seguro Componentes de un Acceso Autorizado Seguro Autenticación Listas de Control de Acceso Cuenta del Administrador por defecto Un Acceso Autorizado Seguro proporciona Confidencialidad Integridad Seguimiento
Seguridad del Dominio Fronteras del Dominio Fronteras de Seguridad Bosque Administradores Fiables Fronteras de Gestión Dominio Unidades Organizativas Fronteras Administrativas Administradores del Dominio Administradores de Servicios Administradores de Datos
Seguridad del Dominio Configuración de Seguridad Unidades Organizativas Grupos Administrativos Plantillas de Seguridad Sincronización de Tiempo Kerberos
Seguridad del Dominio Política del Dominio Account Policies User Rights Assignment Security Options Políticas de Cuentas Políticas de Claves Políticas de Bloqueo Políticas Kerberos
Demo 1 Política del Dominio Demonstrar Estructuras de OU Demostrar Grupos Administrativos Crear y Mostrar los Fiecheros .inf de las Plantillas de Seguridad. Demostrar Configuraciones de Políticas de Cuentas
Fortificación de Servidores Securidad vs Functionalidad Configuraciones de Seguridad Limitar la Superficie de Ataque Evitar Acceso Innecesario Comunicación Segura Actualizaciones de Seguridad
Fortificación de Servidores Microsoft Baseline Security Analyzer Análisis y Configuración de Seguridad Plantillas de Seguridad Group Policy Secedit GPResult GPUpdate
Política para Servidores Independientes Parámetros de las Políticas Aplicar Políticas a la OU de Servidores Independientes Configuración Heredada por las OU hijas Política de Auditoría Asignación de Derechos de Usuario Opciones de Seguridad Registros de Eventos Servicios del Sistema Servidores Independientes
Política para Servidores Independientes Línea Base de Seguridad Configuración Manual Renombrar y cambiar la descripcion de las cuentas pre-definidas Restringir el acceso de las cuentas pre-definidas y cuentas de servicio No utilizar cuentas del dominio para los servicios en la medida de lo posible Utilizar NTFS Configurar encriptación en Terminal Services No configurar “error reporting” (Sólo en Windows Server 2003)
Demo 2 Aplicar la Política de Servidores Independientes Aplicar Política GPUpdate GPResult
Fortificación de Controladores de Dominio Parámetros de las Políticas A los Domain Controllers no les afecta la política de Servidores Independientes Aplicar la Política a la OU de Domain Controllers Política de Auditoría Asignación de Derechos de Usuario Opciones de Seguridad Registros de Sucesos Servicios del Sistema Domain Controllers
Fortificación de Controladores de Domino Parámetros Adicionales Adicionalmente Cuentas específicas del Dominio en la Asignación de Derechos de Usuario Ubicación del fichero log de Active Directory Utilidad System Key(Syskey) DNS integrado en Active Directory IP Security (IPSec)
Demo 3 Fortificación de Controladores de Dominio Aplicar la Política de Domain Controller Ver SysKey
Fortificación de Servidores Según su Rol Servidores de Infraestructura Heredan la configuración de la Política de Servidores Independientes Configurar parámetros de Servicios Dynamic Host Configuration Protocol (DHCP) Windows Internet Name Service (WINS) Registro de Servicios Características de Disponibilidad Seguridad en cuentas locales IPSec
Fortificación de Servidores Según su Rol Servidores de Ficheros Hereda la configuración de la política de Servidores Independientes Configurar Servicios Distributed File System (DFS) File Replication Service (FRS) Asegurar cuentas pre-definidas y de servicios Configurar IPSec
Fortificación de Servidores Según su Rol Servidores de Impresoras Hereda la configuración de la política de Servidores Independientes Configurar Opciones de Seguridad Configurar Servicios Asegurar cuentas pre-definidas y de Servicios Configurar IPSec
Fortificación de Servidores Según su Rol Internet Information Services (IIS) Hereda los valores de la Política de Servidores Independientes Configurar asignación de derechos de usuarios Configurar Servicios Habilitar únicamente los componentes esenciales de IIS IIS deshabilitado por defecto en Windows Server 2003 Instalación nueva únicamente en servidores con contenido estático Asegurar cuentas pre-definidas y de servicio Configurar IPSec
Demo 4 Fortificación de Servidores Según su Rol Demonstrar Seguridad en IIS Aplicar Política de Seguridad de Servidor de Ficheros
Ejemplo de Combinación de Roles Servidor de Ficheros e Impresoras Servidor de Ficheros: configurar firma digital de comunicaciones SMB Servidor de Impresoras: La firma digital SMB no evita que se imiprima SINO QUE se vea la cola de impresión
Ejemplo de Servidor Aislado No es parte de un Dominio No se aplican Políticas de Grupo Políticas locales Herramienta de Configuración y Análisis de Seguridad Secedit
Demo 5 Combinación de Roles y Fortificación de un Servidor Aislado Configuración y Análisis de Seguridad Secedit
Resumen Necesidad de Seguridad. Definición del Problema. Seguridad de Servidores. Seguridad del Dominio. Fortificación de Servidores Política para Servidores Independientes. Fortificación de Controladores de Dominio. Fortificación de Servidores según su Rol
Más Información Información y recursos sobre seguridad de Microsoft www.microsoft.com/spain/seguridad www.microsoft.com/spain/technet/seguridad Windows 2000 Server Security Guide http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/chklist/w2ksvrcl.asp Guia de Seguridad de Windows Server 2003 http://www.microsoft.com/spain/technet/seguridad/guias/guia_ws2003.asp
 

Más contenido relacionado

PPT
Implementing network security_es
Jazminmrodenas
 
PDF
Aura Systems - Portafolio de Soluciones y Servicios 2015
Aura Systems Perú
 
PDF
Presentación SPAC CORE NETWORKS
Core2014
 
PDF
Panda Managed Office Protection
comprodi
 
PPT
Symantec endpoint protection
javiersdq
 
DOCX
Acceso remoto
richardlozano21
 
PDF
Metodología de Desarrollo de TI para PYME
Jorge Luis Ojeda
 
PPTX
Novell Filr (el Dropbox corporativo)
CleverTask
 
Implementing network security_es
Jazminmrodenas
 
Aura Systems - Portafolio de Soluciones y Servicios 2015
Aura Systems Perú
 
Presentación SPAC CORE NETWORKS
Core2014
 
Panda Managed Office Protection
comprodi
 
Symantec endpoint protection
javiersdq
 
Acceso remoto
richardlozano21
 
Metodología de Desarrollo de TI para PYME
Jorge Luis Ojeda
 
Novell Filr (el Dropbox corporativo)
CleverTask
 

La actualidad más candente (20)

PPTX
Security Services Portfolio
CleverTask
 
DOCX
Seguridad wlan
Jorge Arroyo
 
PDF
Implementacion de seguridad en redes inalambricas
Brayan Giraldo
 
DOCX
Capítulo 8 Seguridad de la nube
Edwin Ruiz
 
PPTX
Gestión de Dispositivos Móviles
CleverTask
 
PPTX
Dti auditoria de sistemas
Alexander Velasque Rimac
 
PDF
Managed Office Protection
comprodi
 
PPTX
Be Aware Webinar - Kill the password
Symantec LATAM
 
PPT
Wifi Utpl
María Paula Espinosa Vélez
 
PPT
Wi Fi Utpl
María Paula Espinosa Vélez
 
PPTX
Seguridad para Cloud Computing
Gabriel Marcos
 
PPTX
Computación en la nube y sus riesgos
Sergio Pinzón Amaya
 
PPTX
Enterasys - smartphone secure device
Genmob
 
PPTX
Presentacion kaspersky
Kevin Medina
 
PDF
Eset smart sercurity_premium_10
Julio Antonio Huaman Chuque
 
PPT
Auditoria en La Nube
javno
 
PDF
Avira
Kevin Herrarte
 
PDF
ESET Endpoint Solutions
ESET Latinoamérica
 
PPTX
Be Aware Webinar - Una mirada profunda a advance threat protection
Symantec LATAM
 
PDF
Panda adaptive defense_360_solution_brief_sp
Andres Guerrero
 
Security Services Portfolio
CleverTask
 
Seguridad wlan
Jorge Arroyo
 
Implementacion de seguridad en redes inalambricas
Brayan Giraldo
 
Capítulo 8 Seguridad de la nube
Edwin Ruiz
 
Gestión de Dispositivos Móviles
CleverTask
 
Dti auditoria de sistemas
Alexander Velasque Rimac
 
Managed Office Protection
comprodi
 
Be Aware Webinar - Kill the password
Symantec LATAM
 
Wifi Utpl
María Paula Espinosa Vélez
 
Wi Fi Utpl
María Paula Espinosa Vélez
 
Seguridad para Cloud Computing
Gabriel Marcos
 
Computación en la nube y sus riesgos
Sergio Pinzón Amaya
 
Enterasys - smartphone secure device
Genmob
 
Presentacion kaspersky
Kevin Medina
 
Eset smart sercurity_premium_10
Julio Antonio Huaman Chuque
 
Auditoria en La Nube
javno
 
Avira
Kevin Herrarte
 
ESET Endpoint Solutions
ESET Latinoamérica
 
Be Aware Webinar - Una mirada profunda a advance threat protection
Symantec LATAM
 
Panda adaptive defense_360_solution_brief_sp
Andres Guerrero
 
Publicidad

Destacado (20)

PPT
Ef Review 08
suandy
 
PPT
Francisco Juegos Olimpicos De Beijing
guesteade30
 
PDF
OHS Distance Learning AASLH[1]
Minnesota Historical Society
 
PPT
Configuracion
Henry Vizcarra
 
PPT
Owen China trip
abouldin
 
PPS
Bebelusi-powerpoint primit pe mail si transformat in slideshow
Violeta
 
PDF
Ad Net Gepon Market J8
rolands77
 
PPS
Autoestima Femenina
CARLOS CAVALLINI
 
PPT
Supporting a Mobile Lost and Found Community
Dominique Guinard
 
PPT
Presentacion
guest2de526
 
ODP
Physics Chapter 1B
markbgomez
 
PPT
QLD_BSDE_EFurlonger
aades.darwin
 
PPS
Web2.0 for AUGE/UG
hc voigt
 
PPS
Prueba
guestca60d5
 
PPT
Owen China Trip
abouldin
 
PPT
Elevpresentasjon om ombudet
Elev- og lærlingombudet i Oslo
 
PPT
Power Point Partes Glaciar
Ana Calvente
 
PPT
La NatacióN
guest6b4bff
 
PPT
Colégio Dom Bosco
Amanda Cunha
 
PPS
Prueba
guestca60d5
 
Ef Review 08
suandy
 
Francisco Juegos Olimpicos De Beijing
guesteade30
 
OHS Distance Learning AASLH[1]
Minnesota Historical Society
 
Configuracion
Henry Vizcarra
 
Owen China trip
abouldin
 
Bebelusi-powerpoint primit pe mail si transformat in slideshow
Violeta
 
Ad Net Gepon Market J8
rolands77
 
Autoestima Femenina
CARLOS CAVALLINI
 
Supporting a Mobile Lost and Found Community
Dominique Guinard
 
Presentacion
guest2de526
 
Physics Chapter 1B
markbgomez
 
QLD_BSDE_EFurlonger
aades.darwin
 
Web2.0 for AUGE/UG
hc voigt
 
Prueba
guestca60d5
 
Owen China Trip
abouldin
 
Elevpresentasjon om ombudet
Elev- og lærlingombudet i Oslo
 
Power Point Partes Glaciar
Ana Calvente
 
La NatacióN
guest6b4bff
 
Colégio Dom Bosco
Amanda Cunha
 
Prueba
guestca60d5
 
Publicidad

Similar a Microsoft Windows Server 2003 Y Windows 2000 (20)

PPTX
Modulo 10: Conceptos de Seguridad de LAN
srkamote
 
PPTX
SRWE_Module_iiiiiiiiiiiiiiiiiiiiiiii10zz.pptx
martinzambonino59
 
PPT
Microsoft Technet - Microsoft Forefront
Chema Alonso
 
PPTX
Ransomware: cómo recuperar sus datos en la nube de AWS
Amazon Web Services LATAM
 
PPT
Windows Server Tech Day Longhorn
DOMINICUS
 
PPTX
Clase 01
Titiushko Jazz
 
PPTX
Clase 01
Titiushko Jazz
 
PDF
2018 cyberark evento cloud
CSA Argentina
 
PPTX
Introduccion a la seguridad en Windows Azure
Juan Pablo
 
PPT
Audema
ivanrodrigo
 
PPT
Audema
ivanrodrigo
 
PPTX
Seguridad de red para la generación de la Nube
Cristian Garcia G.
 
PPTX
Tendencias de seguridad en redes
Fundación Proydesa
 
PDF
Ricardo ojeda
ssuserdd0f8d
 
PDF
Arquitectura segurawireless
Yeison Daniel Medina Argote
 
PDF
Charla Azure Security Barcelona 2019-12-14
Juan Ignacio Oller Aznar
 
PDF
Investigacion seguridad 2
Francisko Raffal
 
PPT
virtual pc
Chamakito Edwinshito Cruz Guevara
 
DOCX
Seguridad En Base De Datos
William Suárez
 
DOCX
Seguridad En Base De Datos
guestb40a1b0
 
Modulo 10: Conceptos de Seguridad de LAN
srkamote
 
SRWE_Module_iiiiiiiiiiiiiiiiiiiiiiii10zz.pptx
martinzambonino59
 
Microsoft Technet - Microsoft Forefront
Chema Alonso
 
Ransomware: cómo recuperar sus datos en la nube de AWS
Amazon Web Services LATAM
 
Windows Server Tech Day Longhorn
DOMINICUS
 
Clase 01
Titiushko Jazz
 
Clase 01
Titiushko Jazz
 
2018 cyberark evento cloud
CSA Argentina
 
Introduccion a la seguridad en Windows Azure
Juan Pablo
 
Audema
ivanrodrigo
 
Audema
ivanrodrigo
 
Seguridad de red para la generación de la Nube
Cristian Garcia G.
 
Tendencias de seguridad en redes
Fundación Proydesa
 
Ricardo ojeda
ssuserdd0f8d
 
Arquitectura segurawireless
Yeison Daniel Medina Argote
 
Charla Azure Security Barcelona 2019-12-14
Juan Ignacio Oller Aznar
 
Investigacion seguridad 2
Francisko Raffal
 
virtual pc
Chamakito Edwinshito Cruz Guevara
 
Seguridad En Base De Datos
William Suárez
 
Seguridad En Base De Datos
guestb40a1b0
 

Último (20)

PDF
Ficha de Atencion a Padres de Familia IE Ccesa007.pdf
Demetrio Ccesa Rayme
 
DOCX
TEXTO DE TRABAJO DE EDUCACION RELIGIOSA - TERCER GRADO.docx
huayllanipalominoroc
 
PDF
ciencia_tecnologia_sociedad Mitcham Carl. (1994)..pdf
Paola Masa
 
DOC
4°_GRADO_-_SESIONES_DEL_11_AL_15_DE_AGOSTO.doc
dvaleroc1
 
PDF
CURRICULAR DE PRIMARIA santa ursula..pdf
ivelezz30
 
PDF
Introducción a la historia de la filosofía
GabinBlack
 
PDF
Aumente su Autoestima - Lair Ribeiro Ccesa007.pdf
Demetrio Ccesa Rayme
 
PDF
KOF-2022-espanol-mar-27-11-36 coke.pdf jsja
JessicaBlanco42
 
PDF
Los10 Mandamientos de la Actitud Mental Positiva Ccesa007.pdf
Demetrio Ccesa Rayme
 
PDF
La lluvia sabe por qué: una historia sobre amistad, resiliencia y esperanza e...
JhonabrahamBravocard
 
PDF
RM2025 - FUNDAMENTOS TEÓRICOS - PEDIATRÍA.pdf
KaterinRamrezEstela
 
PDF
Modelo Educativo SUB 2023versión final.pdf
YessicaMenachoyugar
 
PDF
Aqui No Hay Reglas Hastings-Meyer Ccesa007.pdf
Demetrio Ccesa Rayme
 
PDF
Como Potenciar las Emociones Positivas y Afrontar las Negativas Ccesa007.pdf
Demetrio Ccesa Rayme
 
PDF
Texto Digital Los Miserables - Victor Hugo Ccesa007.pdf
Demetrio Ccesa Rayme
 
PDF
Introduccion a la Investigacion Cualitativa FLICK Ccesa007.pdf
Demetrio Ccesa Rayme
 
PDF
TALLER DE ESTADISTICA BASICA para principiantes y no tan basicos
JoseTre
 
PDF
Mi Primer Millon - Poissant - Godefroy Ccesa007.pdf
Demetrio Ccesa Rayme
 
PDF
LIBRO 2-SALUD Y AMBIENTE-4TO CEBA avanzado.pdf
jmazel2033
 
DOCX
Programa_Sintetico_Fase_4.docx 3° Y 4°..
juliet11091
 
Ficha de Atencion a Padres de Familia IE Ccesa007.pdf
Demetrio Ccesa Rayme
 
TEXTO DE TRABAJO DE EDUCACION RELIGIOSA - TERCER GRADO.docx
huayllanipalominoroc
 
ciencia_tecnologia_sociedad Mitcham Carl. (1994)..pdf
Paola Masa
 
4°_GRADO_-_SESIONES_DEL_11_AL_15_DE_AGOSTO.doc
dvaleroc1
 
CURRICULAR DE PRIMARIA santa ursula..pdf
ivelezz30
 
Introducción a la historia de la filosofía
GabinBlack
 
Aumente su Autoestima - Lair Ribeiro Ccesa007.pdf
Demetrio Ccesa Rayme
 
KOF-2022-espanol-mar-27-11-36 coke.pdf jsja
JessicaBlanco42
 
Los10 Mandamientos de la Actitud Mental Positiva Ccesa007.pdf
Demetrio Ccesa Rayme
 
La lluvia sabe por qué: una historia sobre amistad, resiliencia y esperanza e...
JhonabrahamBravocard
 
RM2025 - FUNDAMENTOS TEÓRICOS - PEDIATRÍA.pdf
KaterinRamrezEstela
 
Modelo Educativo SUB 2023versión final.pdf
YessicaMenachoyugar
 
Aqui No Hay Reglas Hastings-Meyer Ccesa007.pdf
Demetrio Ccesa Rayme
 
Como Potenciar las Emociones Positivas y Afrontar las Negativas Ccesa007.pdf
Demetrio Ccesa Rayme
 
Texto Digital Los Miserables - Victor Hugo Ccesa007.pdf
Demetrio Ccesa Rayme
 
Introduccion a la Investigacion Cualitativa FLICK Ccesa007.pdf
Demetrio Ccesa Rayme
 
TALLER DE ESTADISTICA BASICA para principiantes y no tan basicos
JoseTre
 
Mi Primer Millon - Poissant - Godefroy Ccesa007.pdf
Demetrio Ccesa Rayme
 
LIBRO 2-SALUD Y AMBIENTE-4TO CEBA avanzado.pdf
jmazel2033
 
Programa_Sintetico_Fase_4.docx 3° Y 4°..
juliet11091
 

Microsoft Windows Server 2003 Y Windows 2000

  • 1. Características de Seguridad en entornos servidor Microsoft Windows Server 2003 y Windows 2000 Trabajo Presentado Por: GUSTAVO JUNIOR CHECALLA CHOQUE
  • 2. ¿Qué es TechNet? El recurso que ofrece la información técnica más completa para ayudar a los profesionales IT a evaluar, implantar, optimizar y dar soporte fácilmente a los productos Microsoft http://www.microsoft.com/spain/technet
  • 3. ¿Qué ofrece TechNet? Suscripción CD o DVD Nuevos Servicios para suscriptores (Chat support & Managed newsgroups support) Recursos online Información y documentación técnica sobre los productos de Microsoft Descargas de software Area de seguridad Participación en foros técnicos Videos Técnicos Online Chats y Webcast técnicos Newsgroups con técnicos de Microsoft Cases Studies: ejemplos empresariales reales Boletín informativo TechNet Flash Seminarios y jornadas técnicas Microsoft TechNet
  • 4. Agenda Importancia de la Seguridad Mejoras de Seguridad en Windows Server 2003. Implementación de seguridad en Windows Server 2003 y Windows 2000
  • 5. La Seguridad es una Preocupación de Todos. Proteger las estaciones de trabajo ha sido cada vez más difícil debido a gran número de razones y dificultades. Los Sistemas de las Empresas están Globalmente Conectados y son cada vez más Complejos. Los Ataques son cada vez más Sofisticados y Destructivos Es difícil mantenerse al día con las Actualizaciones de Seguridad
  • 6. Impacto en la Empresa. De acuerdo con el informe denominado “Computer Crime and Security Survey” de 2001, realizado por el CSI (Computer Crime Institute) y el FBI: Pérdidas financieras Cuantificadas de al menos $377M, ó $2M por cada uno de los encuestados. El 40% detectó penetración en los sistemas desde el exterior; siendo un 25% en 2000 El 94% detectó virus informáticos; siendo un 85% in 2000 Fuente: Computer Security Institute (CSI) Computer Crime and Security Survey 2001 Fuente: InformationWeek.com, 10/15/01 Los Fallos de Seguridad Tienen Costes Reales
  • 7. Érase Una Vez… (No Hace Tanto Tiempo) Mainframes conectados a “terminales tontos” . Era relativamente fácil establecer Seguridad. Mainframe
  • 8. Se Introdujeron Nuevas Tecnologías… Arquitectura Cliente/Servidor. Se aumenta la Productividad y se está expuesto a nuevos niveles de riesgo. Servers Mainframe
  • 9. Internet y la movilidad aumentan los riesgos de Seguridad… Servidores Clientes Mainframe
  • 10. Evolución de las Amenazas Ataques desde dentro por usuarios “autorizados”. Corrupción de datos, pérdida de datos. Penetración de Hackers (generalmente inocuo) Amenazas anteriores, MÁS : Penetraciones maliciosas destructivas. Ataques de virus destructivos. Amenazas anteriores, MÁS : Caídas y Bloqueos de Sistemas. Manipulación y Robo de los Datos. Herramientas de Seguridad en el Kit de Recursos AutoSave Macro Security – preguntar antes de abrir Protección de clave en el SalvaPantallas. Soporte multi-usuario Limitado Herramientas y Características existentes, MÁS : Seguridad de Macros Multi-Nivel y firma de código. Seguridad de Adjuntos Multi-Nivel en Outlook. Encriptación de Documentos; Claves en los Documentos. Internet Connection Firewall con ISA Server Sistema de Ficheros Encriptados, PKI Seguridad a Nivel de Usuario, Group Policy Objects, Auditorías. Soporte para Smart Cards, Soporte Multi-usuario completo. 2000 2002 1997 Herramientas y Características existentes, MÁS : Seguridad en Outlook Multi-Nivel. Encriptación Advanzada. Herramientas de Gestión de la Seguridad Centralizadas. AutoRecovery Conectividad Wireless Integrada. Internet Connection Firewall integrado. Evolución de la Tecnología Windows XP y Windows 2003
  • 11. La Seguridad es tan Fuerte como el Eslabón más Débil. La Tecnología no es ni el problema completo, ni la solución completa. Los Sistemas de Seguridad dependen de: Tecnología, Procesos y Personas.
  • 12. Estándares, Encriptación, Protección Características de Seguridad en los Productos Herramientas y Productos de Seguridad Planificación de la Seguridad Prevención Detección Reacción Tecnología, Procesos, Personas Personal dedicado Formación Seguridad – mentalización y prioridad
  • 13. Marco de la Seguridad: SD 3 +C Secure by Deployment Nuevas herramientas de gestión de parches. 7 Cursos disponibles en Microsoft Official Curriculum Guías de Configuración de Seguridad Oficiales. Herramientas de Seguridad integradas. Secure by Design Construir una arquitectura Segura Añadir características de Seguriad Revisión de código y tests de penetración. Secure by Default 60% menos en la superficie de ataque por defecto respecto a Windows NT 4.0 SP3 20+ servicios que no están por defecto. Instalación de Servicios en modo seguro (IIS 6.0 Lockdown) Communications Writing Secure Code 2.0 Webcasts de Architectura Conferencias como el IT Fourm
  • 14. Agenda La importancia de la Seguridad Mejoras de Seguridad en Windows Server 2003.
  • 15. Seguridad en Directorio Activo Relaciones de Confianza entre Bosques Permite a los Administradores crear relaciones de confianza externas “forest-to-forest” Autenticación entre Bosques Permite acceso seguro a los recursos cuando la cuenta del usuario está en un Bosque y la cuenta de máquina pertenece a otro Bosque. Autorización entre Bosques Permite a los Administradores seleccionar usuarios y grupos de Bosques de confianza para incluirlos en grupos locales o ACLs. IAS y Autenticación entre Bosques Si los Bosques del Dir. Activo están em modo “cross-forest” con relaciones de confianza bidireccionales, entonces IAS/RADIUS pueden autenticar la cuenta de usuario del otro Bosque.
  • 16. Demo Relaciones de Confianza entre Bosques
  • 17. Mejoras en PKI Soporte de Certificaciones Cruzadas. Plantillas de Certificados Personalizables (Versión 2) Delta CRLs Key Archival/Recovery Auto-enrollment Auditoría de las acciones del Administrador. Ref.: Windows Server 2003 PKI Operations Guide http://www.microsoft.com/technet/prodtechnol/windowsserver2003/maintain/operate/ws03pkog.asp
  • 18. Mejoras en IIS Revisiones de código por parte de expertos en seguridad independientes No se instala por defecto Servidor en estado “bloqueado por defecto” Extensiones del servidor Web bloqueadas por defecto. Identidad de procesos de usuario configurables. Cuenta de servicios con pocos priviliegios
  • 19. Permisos Permisos NFTS por defecto bloqueados: Antes: Everyone Full Control Ahora: Everyone , Read y Execute (Sólo en Root) Usuarios , Read and Execute , Create Folder , Create File SYSTEM , Creator , Administrators Full Control Permisos por defecto en Shares: Antes: Everyone Full Control Ahora: Everyone Read Nuevas Características: Herramienta de Permisos Efectivos Cambiar el Owner mediante GUI
  • 20. Demo Interfaz de Usuario para los Permisos
  • 21. Qué tiene en común todos estos Servicios? Alerter Clipbook Distributed Link Tracking (Server) Imapi CDROM Burning Service Human Interface Devices ICS/ICF Intersite Messaging KDC License Logging Manager Terminal Server Discovery Service Windows Image Acquisition Messenger NetMeeting NetDDE NetDDE DSDM RRAS Telnet Themes WebClient Windows Audio Inicio = Deshabilitado
  • 22. Cuentas de Servicio del Sistema Local Service y Network Service No hay que gestionar passwords Se ejecuta con ligeramente más permisos que Authenticated User Local Service no se puede autenticar a través de la red, Network Service se autentica como la cuenta de máquina. Local System No hay que gestionar passwords Se salta los chequeos de seguridad Cuentas de Usuario Se ejecuta con menos privilegios que Local System Almacena el password como un LSA secret Pueden ser complejas en la configuración
  • 23. Internet Connection Firewall Apareció incialmente en Windows XP Se habilita en cada interfaz Soporta LAN, Wireless, RAS Elimina por defecto todo el tráfico IP de entrada Bloquea por defecto el tráfico ICMP Se pueden crear reglas para permitir el acceso a servicios Puede registrar peticiones aceptadas y rechazadas.
  • 24. Nuevas Caracterísitcas de IPSec Gestión IP Security Monitor Gestión en línea de comando con Netsh Direcciones lógicas para configuración IP local Seguridad Criptografía más Robusta (Diffie-Hellman) Seguridad en el Inicio del Sistema Política persistente. Interoperabilidad Funcionalidad de IPSec con (NAT) Integración mejorada de IPSec con NLB
  • 25. Reglas de Excepción por defecto en IPSec Se almacenan en el Registro: HKLM\SYSTEM\CurrentControlSet\Services\IPSEC\NoDefaultExempt X X IKE Multicast Broadcast RSVP IKE Kerberos Multicast Broadcast IKE RSVP IKE Kerberos IKE Multicast Broadcast RSVP IKE Kerberos Multicast Broadcast 3 2 1 0 Valores de NoDefaultExempt
  • 26. Seguridad de Inicio de IPSec Demo
  • 28. Qué es Network Access Quarantine? El cliente Remoto se Autentica El Cliente RAS cumple la política de Cuarentena El cliente RAS consigue acceso total a la red Cliente RAS desconectado El cliente RAS no cumple la política de Cuarentena Se alcanza el timeout de Cuarentena Cliente RAS puesto en Cuarentena
  • 29. Qué son las reglas de política? Las reglas de política de Cuarentena son configurables, las reglas comunes pueden incluir : Service packs ó los últimos hotfixes instalados Software Antivirus instalado Ficheros de firmas de detección de Virus actualizados. Routing deshabilitado en el cliente RAS Internet Connection Firewall habilitado Salvapantallas con protección de password habilitado.
  • 30. Arquitectura de Cuarentena Internet Cliente RAS Servidor RRAS ServidorIAS RQC.exe y RQS.exe están en el Kit de Recursos de Windows Server 2003 Perfil CM Ejecuta script personalizable post-conexión El Script ejecuta notificador RQC con “cadena de resultados” Listener RQS recibe del notificador “cadena de resultados” Compara cadena con posibles resultados Elimina time-out si se recibe respuesta pero el cliente no está actualizado Quita la cuarentena si el cliente está actualizado. VSAs de Cuarentena MS-Quarantine-Session-Timeout MS-Quarantine-IPFilter Cuarentena
  • 31. Proceso Detallado Internet Cliente RAS Servidor RRAS Servidor IAS Connect Authenticate Authorize Quarantine VSA + Normal Filters Policy Check Result Remove Quarantine Quarantine Access Full Access Quarantine
  • 32. Políticas de Restricción de Software.
  • 33. Qué hace SRP SRP puede: Controlar qué programas se pueden ejecutar en una máquina Permitir a los usuarios ejecutar exclusivamente ficheros específicos en máquinas con múltiples usuarios. Controlar si las políticas de restricción de software afectan a todos ó a usuarios específicos. Evitar que programas específicos se ejecuten en: Máquina Local Cualquier máquina en una OU, Site, ó Dominio
  • 34. Políticas de Restricción de Software Dos modos: Disallowed, Unrestricted Control de código ejecutable: .ADE .ADP .BAS .BAT .CHM .CMD .CPL .CRT .EXE .HLP .HTA .INF .INS .ISP .JS .JSE .LNK .MDB .MDE .MSC .MSI .MSP .MST .PCD .PIF .REG .SCR .SCT .SHS .URL .VB .VBE .VBS .WSC .WSF .WSH
  • 35. Contra qué no nos protege SRP Drivers u otro software en modo kernel No puede protegernos de SYSTEM Cualquier programa con cuenta SYSTEM. No puede protegernos de SYSTEM Macros dentro de documentos Microsoft Office 2000 ó Office XP. Utilizar opciones de seguridad de Macros Programas escritos para “common language runtime”. Estos programas utilizan “Code Access Security”
  • 36. Tipos de reglas SRP Regla de Path Compara el path de un fichero contra una lista de paths permitidos Utilizar cuando se tiene una carpeta con múltiples ficheros de una aplicación. Regla Hash Compara el hash MD5 ó SHA1 de un fichero respecto del que se intenta ejecutar Utilizarlo cuando se quiere permitir/prohibir la ejecución de cierta versión de un fichero. Regla de Certificado Chequea la firma digital de las aplicaciones (i.e.Authenticode) Utilizar cuando se quiera restringir tanto aplicaciones win32 como contenido ActiveX Regla de Zona Internet Controla cómo se puede acceder a Zonas de Internet Utilizar en entornos de alta seguridad para controlar el acceso a aplicaciones web
  • 37. Precedencia de las Reglas Qué ocurre cuando un programa cumple varias reglas? Intentando ejecutar la calculadora Tiene precedencia la regla más específica: Hash rule Certificate rule Path rule Zone rule Disallowed c:\winnt\system32\calc.exe Unrestricted c:\winnt Disallowed A6A44A0E8A76C7B2174DE68C5B0F724D:114688:32771
  • 39. Mejoras Generales Cambio en la prioridad de búsqueda de DLL desde el directorio de trabajo a \windows\system32 Encriptación por defecto AES-256-bit en EFS El grupo Everyone ya no incluye usuarios anónimos (Users y Guests) Encriptación WebDAV Carpetas offline encriptadas
  • 40. Mejoras Generales Soporte PEAP Delegación restringida Auditoría de seguridad detallada. Auditoría de inicio de sesión de cuentas habilitado por defecto. Integración DPAPI Fichero de Ayuda ampliado en temas de Seguridad
  • 41. Las Personas son los Activos de más valor. Plantilla de Seguridad dedicada Grupo de Seguridad especializado Experiencia específica en seguridad Formación Formación en estándares, tecnologías, y procesos Contribución de todas las partes de la Organización. Conocimiento y cumplimiento de las directrices de la empresa para la seguridad física, políticas de passwords, procedimientos de acceso a datos.
  • 42. Quarantine Whitepaper: Network Access Quarantine Whitepaper: http://www.microsoft.com/windowsserver2003/techinfo/overview/quarantine.mspx Software Restriction Policy http://www.microsoft.com/windows2000/technologies/security/redir-wnetsafer.asp Windows Server 2003 Resource Kit Tools Download: http://go.microsoft.com/fwlink/?LinkId=4544 Apéndice
  • 43. Windows Server 2003 Security Configuration Guide Windows Server 2003 Security Guide http://go.microsoft.com/fwlink/?LinkId=14846 Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP http://go.microsoft.com/fwlink/?LinkId=15160
  • 44. Implementación de Seguridad en el Servidor Windows 2000 y Windows Server 2003
  • 45. Agenda Necesidad de Seguridad. Definición del Problema. Seguridad de Servidores. Seguridad del Dominio. Fortificación de Servidores Política para Servidores Independientes. Fortificación de Controladores de Dominio. Fortificación de Servidores según su Rol
  • 46. Conocimientos Necesarios Experiencia en conocimiento relacionado con Seguridad de Windows 2000 ó 2003. Familiaridad con herramientas de Gestión de Windows. Familiaridad con Políticas de Grupo. Level 200
  • 47. Agenda Necesidad de Seguridad. Definición del Problema. Seguridad de Servidores. Seguridad del Dominio. Fortificación de Servidores Política para Servidores Independientes. Fortificación de Controladores de Dominio. Fortificación de Servidores según su Rol
  • 48. Necesidad de Seguridad Proteger Información Proteger los canales de información Minimizar paradas del servicio Proteger los beneficios. Evitar daño a la imagen Proteger los procesos de los trabajadores
  • 49. Definición del Problema Pequeña y Mediana Empresa Los Servidores cumplen multitud de Roles. Servidores Limitados Recursos Disponibles Limitados Características de Disponibilidad de Servicio Limitada. Domain Controller SQL Server IIS Server File Server Print Server
  • 50. Definición del Problema Pequeña y Mediana Empresa Amenaza Accidental Amenaza Interna Servidor Comprometido ó Fallido Afecta a múltiples Servicios Discover Request Acknowledge Offer
  • 51. Definición del Problema Pequeña y Mediana Empresa Acceso a Internet Recursos Limitados para implementar Seguridad completa. Posibilidad de acceso malicioso a la red.
  • 52. Definición del Problema Pequeña y Mediana Empresa Departamentos IT pequeños. No existe experiencia específica en Seguridad. Administrador del Dominio con algo de conocimiento en Seguridad. Soporte a Usuarios Poco conocimiento en Seguridad Soporte de Aplicaciones Algún Conocimiento de Seguridad de Aplicaciones.
  • 53. Definición del Problema Pequeña y Mediana Empresa Utilización de Sistemas antiguos NO son posibles algunas configuraciones de Seguridad No se puede establecer comunicación SMB firmada digitalmente
  • 54. Seguridad de Servidores Seguridad Física El acceso físico a los Servidores anula algunos procedimientos de Seguridad
  • 55. Seguridad de Servidores Acceso Autorizado Seguro Componentes de un Acceso Autorizado Seguro Autenticación Listas de Control de Acceso Cuenta del Administrador por defecto Un Acceso Autorizado Seguro proporciona Confidencialidad Integridad Seguimiento
  • 56. Seguridad del Dominio Fronteras del Dominio Fronteras de Seguridad Bosque Administradores Fiables Fronteras de Gestión Dominio Unidades Organizativas Fronteras Administrativas Administradores del Dominio Administradores de Servicios Administradores de Datos
  • 57. Seguridad del Dominio Configuración de Seguridad Unidades Organizativas Grupos Administrativos Plantillas de Seguridad Sincronización de Tiempo Kerberos
  • 58. Seguridad del Dominio Política del Dominio Account Policies User Rights Assignment Security Options Políticas de Cuentas Políticas de Claves Políticas de Bloqueo Políticas Kerberos
  • 59. Demo 1 Política del Dominio Demonstrar Estructuras de OU Demostrar Grupos Administrativos Crear y Mostrar los Fiecheros .inf de las Plantillas de Seguridad. Demostrar Configuraciones de Políticas de Cuentas
  • 60. Fortificación de Servidores Securidad vs Functionalidad Configuraciones de Seguridad Limitar la Superficie de Ataque Evitar Acceso Innecesario Comunicación Segura Actualizaciones de Seguridad
  • 61. Fortificación de Servidores Microsoft Baseline Security Analyzer Análisis y Configuración de Seguridad Plantillas de Seguridad Group Policy Secedit GPResult GPUpdate
  • 62. Política para Servidores Independientes Parámetros de las Políticas Aplicar Políticas a la OU de Servidores Independientes Configuración Heredada por las OU hijas Política de Auditoría Asignación de Derechos de Usuario Opciones de Seguridad Registros de Eventos Servicios del Sistema Servidores Independientes
  • 63. Política para Servidores Independientes Línea Base de Seguridad Configuración Manual Renombrar y cambiar la descripcion de las cuentas pre-definidas Restringir el acceso de las cuentas pre-definidas y cuentas de servicio No utilizar cuentas del dominio para los servicios en la medida de lo posible Utilizar NTFS Configurar encriptación en Terminal Services No configurar “error reporting” (Sólo en Windows Server 2003)
  • 64. Demo 2 Aplicar la Política de Servidores Independientes Aplicar Política GPUpdate GPResult
  • 65. Fortificación de Controladores de Dominio Parámetros de las Políticas A los Domain Controllers no les afecta la política de Servidores Independientes Aplicar la Política a la OU de Domain Controllers Política de Auditoría Asignación de Derechos de Usuario Opciones de Seguridad Registros de Sucesos Servicios del Sistema Domain Controllers
  • 66. Fortificación de Controladores de Domino Parámetros Adicionales Adicionalmente Cuentas específicas del Dominio en la Asignación de Derechos de Usuario Ubicación del fichero log de Active Directory Utilidad System Key(Syskey) DNS integrado en Active Directory IP Security (IPSec)
  • 67. Demo 3 Fortificación de Controladores de Dominio Aplicar la Política de Domain Controller Ver SysKey
  • 68. Fortificación de Servidores Según su Rol Servidores de Infraestructura Heredan la configuración de la Política de Servidores Independientes Configurar parámetros de Servicios Dynamic Host Configuration Protocol (DHCP) Windows Internet Name Service (WINS) Registro de Servicios Características de Disponibilidad Seguridad en cuentas locales IPSec
  • 69. Fortificación de Servidores Según su Rol Servidores de Ficheros Hereda la configuración de la política de Servidores Independientes Configurar Servicios Distributed File System (DFS) File Replication Service (FRS) Asegurar cuentas pre-definidas y de servicios Configurar IPSec
  • 70. Fortificación de Servidores Según su Rol Servidores de Impresoras Hereda la configuración de la política de Servidores Independientes Configurar Opciones de Seguridad Configurar Servicios Asegurar cuentas pre-definidas y de Servicios Configurar IPSec
  • 71. Fortificación de Servidores Según su Rol Internet Information Services (IIS) Hereda los valores de la Política de Servidores Independientes Configurar asignación de derechos de usuarios Configurar Servicios Habilitar únicamente los componentes esenciales de IIS IIS deshabilitado por defecto en Windows Server 2003 Instalación nueva únicamente en servidores con contenido estático Asegurar cuentas pre-definidas y de servicio Configurar IPSec
  • 72. Demo 4 Fortificación de Servidores Según su Rol Demonstrar Seguridad en IIS Aplicar Política de Seguridad de Servidor de Ficheros
  • 73. Ejemplo de Combinación de Roles Servidor de Ficheros e Impresoras Servidor de Ficheros: configurar firma digital de comunicaciones SMB Servidor de Impresoras: La firma digital SMB no evita que se imiprima SINO QUE se vea la cola de impresión
  • 74. Ejemplo de Servidor Aislado No es parte de un Dominio No se aplican Políticas de Grupo Políticas locales Herramienta de Configuración y Análisis de Seguridad Secedit
  • 75. Demo 5 Combinación de Roles y Fortificación de un Servidor Aislado Configuración y Análisis de Seguridad Secedit
  • 76. Resumen Necesidad de Seguridad. Definición del Problema. Seguridad de Servidores. Seguridad del Dominio. Fortificación de Servidores Política para Servidores Independientes. Fortificación de Controladores de Dominio. Fortificación de Servidores según su Rol
  • 77. Más Información Información y recursos sobre seguridad de Microsoft www.microsoft.com/spain/seguridad www.microsoft.com/spain/technet/seguridad Windows 2000 Server Security Guide http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/chklist/w2ksvrcl.asp Guia de Seguridad de Windows Server 2003 http://www.microsoft.com/spain/technet/seguridad/guias/guia_ws2003.asp
  • 78.  

Notas del editor

  • #2: Nota del Instructor: Bienvenidos a esta sesión de TechNet en la que vamos a hablar de Seguridad en los Productos de Microsoft. Dividiremos esta sesión en dos partes. En la primera, hablaremos de las características de Seguridad existente en la últimas versiones de las plataformas Cliente y Servidor: Windows 2003 y Windows XP. En la Segunda, de la Implementación de Seguridad en el Servidor Windows 2000 y Windows Server 2003. Transición de Diapositiva: En esta primera parte hablaremos de….