Juan Luis García Rambla MVP Windows Security Consultor Seguridad y Sistemas jlrambla@informatica64.com

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Juan Luis García Rambla MVP Windows Security Consultor Seguridad y Sistemas jlrambla@informatica64.com"

Emilio de la Cruz Miranda
hace 8 años
Vistas:

1 Juan Luis García Rambla MVP Windows Security Consultor Seguridad y Sistemas jlrambla@informatica64.com

2 Fortificación de Servicios

3 Reducir el tamaño de capas de riesgo Segmentación de servicios Incrementar el número de capas D S S D Drivers de Kernel Servicios de Sistema Servicios de privilegios bajos Drivers en modo usuario S Servicio A S Servicio Servicio S Usuario Admin Services Kernel D D D Servicio 1 Servicio 2 Servicio 3 Servicios Restringidos D D D Aplicaciones sin privilegios S S S Servicio B

usuario S Servicio A S Servicio Servicio S Usuario Admin Services Kernel D D D Servicio 1

4 Los Servicios de Windows Services fueron una gran superficie de ataque debido a sus privilegios y a que estaban siempre activos Mejoras: SID (per-service Security Identifier) reconocidos en ACLs (Access Control Lists), para que los servicios puedan proteger sus recursos Política de Firewall que prohíben el acceso de red por servicio, sujeto a ACLs y SIDs

Identifier) reconocidos en ACLs (Access Control Lists), para que los servicios puedan

5 Mejoras: Quitar a los servicios los privilegios innecesarios Cambio de LocalSystem a LocalService o NetworkService cuando es posible Uso de testigos con restricciones de escritura para los procesos de los servicios

NetworkService cuando es posible Uso de testigos con

6 Controla y aísla los servicios en la máquina local. Evita problemas de seguridad derivados de la ejecución en Sesión 0 los servicios y sistema con los usuarios.

7 MIC agrega un sistema adicional para el control de integridad. Asigna integridad a ficheros, carpetas y procesos. Existen 4 niveles de Integridad: Sistema. Alto. Permisos administrativos Medio. Por defecto para los usuarios. Bajo. Solo puede escribir en zonas reservadas de integridad baja.

Existen 4 niveles de Integridad: Sistema. Alto.

8 Implementa los niveles de integridad en procesos determinados Proporciona el mecanismo par evitar ataques de elevación de privilegios. Evita que una aplicación pueda llamar a una aplicación de mayor integridad. Inyección de código. Hooking de procesos. Shatter Attack (envío de mensajes a un proceso de mayor integridad).

Evita que una aplicación pueda llamar a una aplicación de mayor integridad.

9 Previene y controla la ejecución de sentencias en segmentos de la memoria definidos. Bloquea la manipulación de servicios y aplicaciones de sistema, críticos frente a aplicaciones maliciosas. Puede hacerse extensible a todas las aplicaciones. Se modifica a través del sistema de arranque mediante BCDEDIT.

Bloquea la manipulación de servicios y aplicaciones de sistema, críticos

10 Network Access Protection

11 Network Access Protecction (NAP) es uno de los elementos más destacados de Windows Server 2008 Se engloba dentro de las tecnologías emergentes de Control de Acceso a la Red (NAC) Permite controlar los aspectos de seguridad que deben cumplirse para poder tener acceso a la red corporativa Da solución a la cada vez mayor complejidad de control de los elementos de seguridad individuales de cada equipo (actualizaciones de sistema, actualizaciones de antivirus, firewall etc.)

cumplirse para poder tener acceso a la red corporativa Da solución a la cada vez mayor complejidad de control de los

12 Basado en tecnologías existentes: VPN 802.1X IPSEC Terminal Services DHCP Políticas controladas mediante NPS (Network Policy Server)

13 3 Servidores de Validación de salud Cliente Windows 1 Dispositivo Intermedio (DHCP, VPN, HRA, Punto de Acceso, Switch/Router ) 2 MSFT NPS No Cumple la Política 1. El cliente solicita acceso a la red y muestra su estado de salud. Cumple la Política 2. El dispositivo intermedio envía el estado de salud al servidor NPS 3. El servidor NPS contrasta el estado de salud del cliente con un servidor de validación de salud (como un servidor antivirus) 4. Si el cliente cumple la política accede a la red corporativa, si no la cumple solo se le concede acceso a un grupo de servidores de remedio 4 4 Red Restringida Red Corporativa Servidores de remedio

El servidor NPS contrasta el estado de salud del cliente con un servidor de validación de salud (como un servidor antivirus) 4.

14 Arquitectura de cliente: Servidor de remedio System Health Agent (SHA) Enforcement Client (NAP EC) NAP Agent Windows XP SP3, Windows Vista y Windows Server 2008 incluyen el cliente NAP

15 Arquitectura de servidor: Health Requirement Server System Health Validator (SHV) NAP Administration Server Servicio NPS NAP Enforcement Server (NAP ES)

16 Es el servidor RADIUS de Microsoft Sustituye a IAS de versiones anteriores de Windows Integrado con Directorio Activo Autentica clientes de dispositivos compatibles Centraliza en un solo punto la autenticación de diferentes entornos (servidores RRAS, VPN, 802.1x etc.) Puede servir como gateway hacia otros servidores RADIUS o NPS Presenta formato de administración MMC 3.0

un solo punto la autenticación de diferentes entornos (servidores RRAS, VPN, 802.1x etc.

17 Descripción de los servicios de rol de NPS Servidor de directiva de redes (NPS) Es el elemento de gestión de políticas RADIUS y de Network Access Protection Enrutamiento y acceso remoto (RRAS) El servicio RRAS para administración de VPNs, protocolos de enrutamiento etc. Autoridad de registro de mantenimiento (HRA) Servicio HTTP para la solicitud de certificados de mantenimiento para NAP con IPSEC Protocolo de autorización de credenciales de host (HCAP) Servicio que permite integrar NAP de Microsoft con soluciones NAC de Cisco Systems

etc. Autoridad de registro de mantenimiento (HRA) Servicio HTTP para la solicitud de certificados de mantenimiento para NAP con IPSEC

18 Bitlocker

19 Tecnología que proporciona mayor seguridad utilizando Trusted Platform Module (TPM) Integridad en el arranque Protege los datos si el sistema esta Off-line Facilidad para el reciclado de equipos Trusted Platform Module (TPM) v1.2 Hardware integrado en el equipo. Ejemplo- Un Chip en la Placa Base Almacena credenciales de forma segura, como la clave privada de un certificado de maquina

equipos Trusted Platform Module (TPM) v1.2 Hardware integrado en el equipo.

20 Capacidad de cifrado. Tiene la funcionalidad de una SmartCard Se usa para solicitud de firma digital de código o ficheros y para autenticación mutua de dispositivos Firmware (BIOS Convencional o EFI BIOS) Compatible con TCG Establece la cadena de confianza para el prearranque del SO Debe de soportar las especificaciones TCG Static Root Trust Measurement (SRTM) Ver:

y para autenticación mutua de dispositivos Firmware (BIOS Convencional o EFI BIOS) Compatible con

22 BDE cifra y firma todo el contenido del Disco Duro El chip TPM proporciona la gestión de claves Por lo tanto Cualquier modificación de los datos, no autorizada realizada off-line es descubierta y el acceso es denegado Nos previene de ataques que utilizan herramientas que acceden al disco duro cuando Windows no se esta ejecutando. Protección contra el robo de datos cuando se pierde o te roban el equipo Parte esencial del arranque seguro

23 El Volumen del SO contiene: SO cifrado Ficheros de Paginación n cifrados Ficheros temporales cifrados Datos Cifrados Fichero de hibernación n cifrado MBR La partición n de sistema contiene: Utilidades de Arranque (Sin cifrar, ~450MB)

25 Suscripción gratuita en

26 px

Documentos relacionados

Microsoft Windows Vista

Microsoft Windows Vista MENÚ 1. Introducción 2. Sistema de gestión UAC (User Account Control) 3. Seguridad en los procesos de autentificación 4. Políticas de Seguridad 5. Sistema de protección de red 6.