Juan Luis García Rambla MVP Windows Security Consultor Seguridad y Sistemas jlrambla@informatica64.com
Fortificación de Servicios
Reducir el tamaño de capas de riesgo Segmentación de servicios Incrementar el número de capas D S S D Drivers de Kernel Servicios de Sistema Servicios de privilegios bajos Drivers en modo usuario S Servicio A S Servicio Servicio S Usuario Admin Services Kernel D D D Servicio 1 Servicio 2 Servicio 3 Servicios Restringidos D D D Aplicaciones sin privilegios S S S Servicio B
Los Servicios de Windows Services fueron una gran superficie de ataque debido a sus privilegios y a que estaban siempre activos Mejoras: SID (per-service Security Identifier) reconocidos en ACLs (Access Control Lists), para que los servicios puedan proteger sus recursos Política de Firewall que prohíben el acceso de red por servicio, sujeto a ACLs y SIDs
Mejoras: Quitar a los servicios los privilegios innecesarios Cambio de LocalSystem a LocalService o NetworkService cuando es posible Uso de testigos con restricciones de escritura para los procesos de los servicios
Controla y aísla los servicios en la máquina local. Evita problemas de seguridad derivados de la ejecución en Sesión 0 los servicios y sistema con los usuarios.
MIC agrega un sistema adicional para el control de integridad. Asigna integridad a ficheros, carpetas y procesos. Existen 4 niveles de Integridad: Sistema. Alto. Permisos administrativos Medio. Por defecto para los usuarios. Bajo. Solo puede escribir en zonas reservadas de integridad baja.
Implementa los niveles de integridad en procesos determinados Proporciona el mecanismo par evitar ataques de elevación de privilegios. Evita que una aplicación pueda llamar a una aplicación de mayor integridad. Inyección de código. Hooking de procesos. Shatter Attack (envío de mensajes a un proceso de mayor integridad).
Previene y controla la ejecución de sentencias en segmentos de la memoria definidos. Bloquea la manipulación de servicios y aplicaciones de sistema, críticos frente a aplicaciones maliciosas. Puede hacerse extensible a todas las aplicaciones. Se modifica a través del sistema de arranque mediante BCDEDIT.
Network Access Protection
Network Access Protecction (NAP) es uno de los elementos más destacados de Windows Server 2008 Se engloba dentro de las tecnologías emergentes de Control de Acceso a la Red (NAC) Permite controlar los aspectos de seguridad que deben cumplirse para poder tener acceso a la red corporativa Da solución a la cada vez mayor complejidad de control de los elementos de seguridad individuales de cada equipo (actualizaciones de sistema, actualizaciones de antivirus, firewall etc.)
Basado en tecnologías existentes: VPN 802.1X IPSEC Terminal Services DHCP Políticas controladas mediante NPS (Network Policy Server)
3 Servidores de Validación de salud Cliente Windows 1 Dispositivo Intermedio (DHCP, VPN, HRA, Punto de Acceso, Switch/Router ) 2 MSFT NPS No Cumple la Política 1. El cliente solicita acceso a la red y muestra su estado de salud. Cumple la Política 2. El dispositivo intermedio envía el estado de salud al servidor NPS 3. El servidor NPS contrasta el estado de salud del cliente con un servidor de validación de salud (como un servidor antivirus) 4. Si el cliente cumple la política accede a la red corporativa, si no la cumple solo se le concede acceso a un grupo de servidores de remedio 4 4 Red Restringida Red Corporativa Servidores de remedio
Arquitectura de cliente: Servidor de remedio System Health Agent (SHA) Enforcement Client (NAP EC) NAP Agent Windows XP SP3, Windows Vista y Windows Server 2008 incluyen el cliente NAP
Arquitectura de servidor: Health Requirement Server System Health Validator (SHV) NAP Administration Server Servicio NPS NAP Enforcement Server (NAP ES)
Es el servidor RADIUS de Microsoft Sustituye a IAS de versiones anteriores de Windows Integrado con Directorio Activo Autentica clientes de dispositivos compatibles Centraliza en un solo punto la autenticación de diferentes entornos (servidores RRAS, VPN, 802.1x etc.) Puede servir como gateway hacia otros servidores RADIUS o NPS Presenta formato de administración MMC 3.0
Descripción de los servicios de rol de NPS Servidor de directiva de redes (NPS) Es el elemento de gestión de políticas RADIUS y de Network Access Protection Enrutamiento y acceso remoto (RRAS) El servicio RRAS para administración de VPNs, protocolos de enrutamiento etc. Autoridad de registro de mantenimiento (HRA) Servicio HTTP para la solicitud de certificados de mantenimiento para NAP con IPSEC Protocolo de autorización de credenciales de host (HCAP) Servicio que permite integrar NAP de Microsoft con soluciones NAC de Cisco Systems
Bitlocker
Tecnología que proporciona mayor seguridad utilizando Trusted Platform Module (TPM) Integridad en el arranque Protege los datos si el sistema esta Off-line Facilidad para el reciclado de equipos Trusted Platform Module (TPM) v1.2 Hardware integrado en el equipo. Ejemplo- Un Chip en la Placa Base Almacena credenciales de forma segura, como la clave privada de un certificado de maquina
Capacidad de cifrado. Tiene la funcionalidad de una SmartCard Se usa para solicitud de firma digital de código o ficheros y para autenticación mutua de dispositivos Firmware (BIOS Convencional o EFI BIOS) Compatible con TCG Establece la cadena de confianza para el prearranque del SO Debe de soportar las especificaciones TCG Static Root Trust Measurement (SRTM) Ver: www.trustedcomputinggroup.org
BDE cifra y firma todo el contenido del Disco Duro El chip TPM proporciona la gestión de claves Por lo tanto Cualquier modificación de los datos, no autorizada realizada off-line es descubierta y el acceso es denegado Nos previene de ataques que utilizan herramientas que acceden al disco duro cuando Windows no se esta ejecutando. Protección contra el robo de datos cuando se pierde o te roban el equipo Parte esencial del arranque seguro
El Volumen del SO contiene: SO cifrado Ficheros de Paginación n cifrados Ficheros temporales cifrados Datos Cifrados Fichero de hibernación n cifrado MBR La partición n de sistema contiene: Utilidades de Arranque (Sin cifrar, ~450MB)
Suscripción gratuita en technews@informatica64.com
http://www.microsoft.com/spain/seminarios/hol.ms px