1 / 75

Microsoft Windows en el proceso de certificación. Seguridad en Microsoft Windows Server 2003

Microsoft Windows en el proceso de certificación. Seguridad en Microsoft Windows Server 2003. Santiago Núñez Consultor Técnico Microsoft. Principios de Seguridad. Confidencialidad. Integridad. Disponibilidad.

lorna
Download Presentation

Microsoft Windows en el proceso de certificación. Seguridad en Microsoft Windows Server 2003

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Microsoft Windows en el proceso de certificación.Seguridad en Microsoft Windows Server 2003 Santiago Núñez Consultor Técnico Microsoft

  2. Principios de Seguridad Confidencialidad Integridad Disponibilidad • Confidencialidad: garantizar que sólo los usuarios y aplicaciones autorizados acceden a la información • Integridad: asegurarquelainformaciónnoha sidomodificada • Disponibilidad: garantizar que la información está accesible a usuarios y aplicaciones

  3. Parámetros de seguridadSituación actual Procesos Tecnología + - Gente

  4. Agenda • Diferenciar el servidor por su función y su entorno • Aseguramiento en entornos confiados • Asegurar un Controlador de Dominio • Asegurar un Servidor de Infraestructura • Asegurar un Servidor de Ficheros • Asegurar un Servidor de Aplicaciones IIS • Aseguramiento en entornos no confiados • Bastionado • Asegurar un Servidor de Aplicaciones IIS • Asegurar un Servidor de Autenticación IAS

  5. Seguridad de los servidoresSituación actual Servidorescondiversasfunciones Recursoslimitadosparaimplementarsolucionesseguras Utilizacióndesistemasantiguos Amenazainternaoaccidental Carenciadeexperienciaenseguridad Elaccesofísicoanulamuchosprocedimientosdeseguridad Consecuenciaslegales

  6. Seguridad de los servidoresSituación actual • La complejidad es enemiga de la seguridad

  7. Seguridad de los servidoresPrimeros pasos • Diferenciar los servidores: • Valor o criticidad de los datos o aplicaciones • Nivel de exposición • Rol o función • Y entonces: • Priorizar los recursos destinados • Aplicar distintas políticas según el rol y el nivel de exposición

  8. Diferenciar servidoresSegún su criticidad • La criticidad de un servidor la puede determinar: • Los datos que contiene el servidor: cuentas de usuarios, información financiera, datos sensibles • El servicio que ofrece • El nivel de servicio necesario (SLA) • Una infraestructura debe “aislar” los sistemas más críticos • La seguridad de un sistema crítico no debe depender de la seguridad de otro de menor criticidad

  9. Diferenciar servidoresSegún su ubicación • La ubicación puede determinar el nivel de exposición a distintos atacantes • Zona interna de confianza • Zona de acceso remoto • Zona perimetral • Las políticas de seguridad pueden variar según la exposición

  10. Diferenciar servidoresSegún su funcionalidad • Cada servidor tendrá una serie de funcionalidades lícitas • Controladores de dominio • Servidores de infraestructura: DHCP, WINS • Servidores de archivos • Servidores de impresión • Servidores de aplicación IIS • Servidores de autenticación IAS • Servidores de certificación • Servidores bastiones • Pueden aparecer otros roles • Hacer que cada servidor sea un representante único de su rol, dificulta la gestión.

  11. Defensas de Perímetro Defensas de Red Defensas de Host Defensas de Aplicación Datos y Recursos Estrategia de Defensa en Profundidad • Cada capa establece sus defensas: • Datos y Recursos: ACLs, Cifrado • Defensas de Aplicación: Validación de las entradas, Antivirus • Defensas de Host: Asegurar el SO, aplicar revisiones y SP, Auditoria • Defensas de red: Segmentación, VLAN ACLs, IPSec • Defensas de perímetro: Filrado de paquetes, IDS, Cuarentena en VPN

  12. Defensas de Perímetro Defensas de Red Defensas de Host Asume fallo de la capa anterior Defensas de Aplicación Datos y Recursos Estrategia de Defensa en Profundidad Directivas,procedimientos, formación yconcienciación Seguridadfísica • Cada capa asume que la capa anterior ha fallado: • Medidas redundantes • Seguridad Física • Todo bajo la dirección de la política de seguridad de la empresa • Basada en capas: • Aumentalaposibilidaddequesedetectenlosintrusos • Disminuyelaoportunidaddequelosintrusoslogrensupropósito

  13. Seguridad de ServidorPrácticas Básicas • Aplicar Service Packs • Aplicar las Revisiones de Seguridad • Subscribirse a los boletines de seguridad • “TechNet Security Day I”

  14. Agenda • Diferenciar el servidor por su función y su entorno • Aseguramiento en entornos confiados • Asegurar un Controlador de Dominio • Asegurar un Servidor de Infraestructura • Asegurar un Servidor de Ficheros • Asegurar un Servidor de Aplicaciones IIS • Aseguramiento en entornos no confiados • Bastionado • Asegurar un Servidor de Aplicaciones IIS • Asegurar un Servidor de Autenticación IAS

  15. Seguridad en Entornos ConfiadosEstrategia • Asegurar el entorno de Active Directory • Crear un diseño teniendo en cuenta las implicaciones de seguridad • Revisar el diseño actual • Crear una Línea Base de Seguridad para todos los servidores integrantes • “Mínimo Común” de la seguridad • Afinar esa Base para cada uno de los roles específicos

  16. Bosque Un bosque funciona como límite de seguridad en Active Directory Dominio Facilita la gestión Unidad organizativa Contenedor de objetos Directivas de grupo Herramienta clave para implementar y administrar la seguridad de una red Active DirectoryComponentes

  17. Active DirectoryConsideraciones de diseño • Crear un Plan de Seguridad de Active Directory • Establecer claramente los límites de seguridad y administrativos • Seguridad basada en la infraestructura de dominios • Separación de administradores • Gestionar cuidadosamente grupos con elevados privilegios • Administradores de Empresa (Enterprise Admins) • Administradores de Esquema (Schema Admins) • Delegar tareas administrativas • Crear una Estructura de Unidades Organizativas • Para delegación de administración. • Para la aplicación de directivas de grupo • Si ya está desplegado AD, revisar el diseño actual para conocer mejor las posibles vulnerabilidades

  18. Analizar el entorno Centro de datos de intranet Sucursales Centro de datos de extranet Realizar un análisis de las amenazas Identificar las amenazas para Active Directory Identificar los tipos de amenazas Identificar el origen de las amenazas Determinar medidas de seguridad para las amenazas Establecer planes de contingencia Diseño de Active DirectoryPlan de Seguridad

  19. Diseño de Active DirectoryRecomendaciones de Administración • Separación de roles de administración • Administradores de servicio • Encargados de configurar y administrar los distintos servicios de AD • Controlan la replicación y el correcto funcionamiento • Copias de seguridad y restauración de AD • Administran los controladores de dominio y servidores de infraestructura • Administradores de datos • Administran subconjuntos de objetos de AD: • Usuarios, grupos, carpetas compartidas • Equipos, servidores integrantes y los datos que contienen

  20. Diseño de Active DirectoryAutonomía o Aislamiento • Autonomía (control no exclusivo) • Autonomía de servicio • Crear un bosque para autonomía de esquema, autoridades de certificación de empresa, etc. • Crear un dominio para autonomía de directivas de grupo, políticas de contraseña • Autonomía de datos • Crear una OU para delegar control a los administradores de datos • Aislamiento (control exclusivo) • Aislamiento de servicio • Crear un bosque • Aislamiento de datos • Crear una OU para aislar de otros administradores de datos • Crear un bosque para aislar de los administradores de servicio

  21. Administración Active DirectoryRecomendaciones generales • Delegar los permisos mínimos necesarios para cada rol • Utilizar doble cuenta para usuarios administradores • Cuenta de administración (no genérica) • Cuenta de usuario: acceso al correo, documentar, navegar • Utilizar autenticación fuerte para cuentas de administración • Autenticación de dos factores: • Smart Card y PIN

  22. Múltiples bosques Trust Bosque Bosque Diseño de Active DirectoryBosques • Separar en otro bosque los servidores de Extranet • Crear otro bosque para aislar administradores de servicios • Bosques y dominios • Bosque = Límite real de seguridad • Dominio = Límite de gestión para administradores con buen comportamiento

  23. Directivadedominio Diseñodedominios Dominio Controladoresdedominio Servidoresintegrantes Directivadelíneadebasedeservidorintegrante Directivadecontroladoresdedominio Administradordeoperaciones Directivadeservidoresdeimpresión Servidoresdeimpresión Administradordeoperaciones Directivadeservidoresdearchivos Servidoresdearchivos AdministradordeserviciosWeb DirectivadeservidoresIIS ServidoresWeb Diseño de Active DirectoryJerarquía de Unidades Organizativas • Una jerarquía de unidades organizativas basada en funciones de servidor: • Simplifica la administraciónde la seguridad • Aplica la configuración de directivas de seguridad a los servidores y a otros objetos en cada unidad organizativa

  24. Directiva de Grupo de DominioFortalecimiento de la configuración • Revisar y modificar la Directiva por defecto • Es posible que no se adecue a las políticas de la empresa • Para modificarla existen dos estrategias: • Modificar la Directiva por defecto • Crear una Directiva Incremental • Políticas de cuentas para los usuarios del dominio • Caducidad y Complejidad de Contraseñas • Bloqueo y Desbloqueo de cuentas

  25. DemostraciónDelegación de administraciónyaplicacióndeunaplantilladeseguridadDelegacióndelcontrolaungrupoadministrativoAplicacióndelaplantilladeseguridaddedominio

  26. Servidoresdeinfraestructuras Servidoresde archivos Directivade líneadebasedeservidoresintegrantes Configuracióndeseguridadincrementalbasadaenfunciones ServidoresIIS SeguridadActiveDirectory Procedimientosderefuerzodelaseguridad ServidoresRADIUS Autoridades de Certificación Hostsbastiones Refuerzo de SeguridadProceso • Configuración de seguridad de línea de base para todos los servidores integrantes • Opciones de configuración adicionales para servidores con funciones específicas • Utilizar GPResult para verificar la aplicación

  27. Línea Base de SeguridadRecomendaciones • Se aplicará a todos los servidores integrantes • No a los controladores de dominio • Opcionesdelaplantilla: • Directivadeauditoria • Inicio y fin de sesión, cambios en la política • Asignacióndederechosdeusuario • Permitir inicio de sesión local en los servidores • Opcionesdeseguridad • Nombres de cuentas de administrador y de invitado • Acceso a la unidad de CD-ROM y de disquete • Los mensajes de inicio de sesión • Registrodesucesos • Tamaño • Serviciosdelsistema • Comportamiento de inicio

  28. Línea Base de SeguridadRecomendaciones • No aplicar directamente las plantillas: • Revisar detalladamente todas las opciones • Probar los cambios en entorno de laboratorio antes de implementarlos en producción

  29. Línea Base de SeguridadPosibles cambios • Para evitar operaciones remotas de los administradores de servicio • Utilizar la política “Denegar inicio de sesión desde red” • Cuidado con las opciones del registro de sucesos cuando se llena • Denegación de servicio si se llena el registro de seguridad • Compatibilidad con sistemas anteriores, hace rebajar el nivel de seguridad: • “Firmar digitalmente las comunicaciones (siempre)” (SMB) • “No permitir enumeraciones anónimas de cuentas” • “No almacenar el valor de hash de Lan Manager” • “Nivel de Autenticación de Lan Manager”

  30. Línea Base de SeguridadOtras opciones • Asegurar la pila TCP/IP • Prevenir ataques DoS • Deshabilitar la generación automática de nombres 8.3 en NTFS • Deshabilitar la opción de ejecución automática de CD-ROMs (Autorun) • Orden de búsqueda de DLLs

  31. Agenda • Diferenciar el servidor por su función y su entorno • Aseguramiento en entornos confiados • Asegurar un Controlador de Dominio • Asegurar un Servidor de Infraestructura • Asegurar un Servidor de Ficheros • Asegurar un Servidor de Aplicaciones IIS • Aseguramiento en entornos no confiados • Bastionado • Asegurar un Servidor de Aplicaciones IIS • Asegurar un Servidor de Autenticación IAS

  32. Asegurar un Controlador de Dominio • Son los servidores más importantes de la infraestructura • Poseen la información de todos los objetos del Active Directory • La seguridad física es importante • Ubicados en salas con control de acceso • Las copias de seguridad poseen también información crítica • Se deben almacenar en entornos con control de acceso • Proceso de Instalación: • En ubicaciones controladas • Bajo la supervisión de administradores • Utilizando procedimientos automatizados

  33. Controladores de dominioPlantilla de seguridad • La mayoría de las directivas coincidirán con la Línea Base de Seguridad • Mayores restricciones en los derechos de usuarios • Inicio de sesión interactiva: Sólo administradores • Inicio de sesión por TS: Sólo administradores • Restauración: Sólo administradores • Cambiar la hora del sistema: Sólo administradores • Configuración servicios específicos: • DFS • DNS • NTFRS • KDC

  34. Controladores de DominioMedidas de Seguridad Adicionales • Reubicar los directorios de la base de datos y logs de Active Directory • Incrementar el tamaño de los registros de eventos • Asegurar el servicio DNS • Utilizar actualizaciones dinámicas seguras • Limitar las transferencias de zonas • Bloquear puertos con IPSec

  35. Agenda • Diferenciar el servidor por su función y su entorno • Aseguramiento en entornos confiados • Asegurar un Controlador de Dominio • Asegurar un Servidor de Infraestructura • Asegurar un Servidor de Ficheros • Asegurar un Servidor de Aplicaciones IIS • Aseguramiento en entornos no confiados • Bastionado • Asegurar un Servidor de Aplicaciones IIS • Asegurar un Servidor de Autenticación IAS

  36. Asegurar un Servidor de Infraestructura • Servidores DHCP y WINS • Se utilizará una plantilla de seguridad incremental específica para Servidordeinfraestructuras • Se configurarán manualmentelasopcionesadicionales

  37. Servidor de InfraestructuraPlantilla de seguridad • Heredará las directivas de la Línea Base de Seguridad • Modificará los Servicios para incluir: • Inicio y seguridad de los servicios DHCP y WINS

  38. Servidor de InfraestructuraConfiguraciones adicionales • Es recomendable establecer las siguientes configuraciones adicionales: • Configuración de registro (log) de DHCP • Protección frente a DoS (80/20) • Evitar perdida de servicio • Usar cuentas de servicio: • No privilegiadas • Cuentas locales • Protección de cuentas locales: • Administrador • Invitado • Permitir tráfico sólo a puertos autorizados mediante filtros IPSec

  39. Agenda • Diferenciar el servidor por su función y su entorno • Aseguramiento en entornos confiados • Asegurar un Controlador de Dominio • Asegurar un Servidor de Infraestructura • Asegurar un Servidor de Ficheros • Asegurar un Servidor de Aplicaciones IIS • Aseguramiento en entornos no confiados • Bastionado • Asegurar un Servidor de Aplicaciones IIS • Asegurar un Servidor de Autenticación IAS

  40. Asegurar un Servidor de Archivos • Balanceo entre seguridad y facilidad de uso • Basados en SMB o CIFS: • Utilizan NetBIOS • Proporcionar información a usuarios no autenticados

  41. Servidor de ArchivosPlantilla de seguridad • Heredará las directivas de la Línea Base de Seguridad • Deshabilitar DFS y NTFRS si no son necesarios • DFS: Sistema distribuidos de ficheros • NTFRS: Replicación de ficheros

  42. Servidor de ArchivosConfiguraciones adicionales • Utilizar ACLs para controlar el acceso: • Sobre archivos y carpetas compartidos mediante NTFS • Sobre los recursos compartidos • Evitar: Todos/Control Total • Uso de auditoria sobre archivos importantes: • Perjudica el rendimiento • Asegurar cuentas conocidas: • Invitado • Administrador • Filtrado de tráfico mediante IPSec para permitir sólo puertos específicos

  43. Agenda • Diferenciar el servidor por su función y su entorno • Aseguramiento en entornos confiados • Asegurar un Controlador de Dominio • Asegurar un Servidor de Infraestructura • Asegurar un Servidor de Ficheros • Asegurar un Servidor de Aplicaciones IIS • Aseguramiento en entornos no confiados • Bastionado • Asegurar un Servidor de Aplicaciones IIS • Asegurar un Servidor de Autenticación IAS

  44. Asegurar un Servidor de Aplicaciones IIS • Se debe proteger cada servidor IIS y cada aplicación • Se utilizará una plantilla incremental

  45. Servidor de Aplicaciones IISPlantilla de seguridad • Aplica las directivas de la Línea Base de Seguridad • Permisos de usuario: • “Denegar acceso a este equipo desde la red” • Incluir: administrador local, Invitado, etc. • Servicios para incluir: • HTTP SSL • IIS Admin • W3C

  46. Servidor de Aplicaciones IISConfiguraciones adicionales • Instalar sólo los componentes necesarios • Habilitar sólo las extensiones necesarias • Ubicar el contenido en volúmenes dedicados • Evitar usar el volumen de sistema • Establecer permisos NTFS • Establecer permisos IIS sobre los sitios web • Evitar permisos de ejecución y escritura en el mismo sitio web • Evitar cuentas de servicio de dominio • Asegurar cuentas conocidas: • Invitado • Administrador • Filtrado de tráfico mediante IPSec para permitir sólo puertos específicos (80,443)

  47. Agenda • Diferenciar el servidor por su función y su entorno • Aseguramiento en entornos confiados • Asegurar un Controlador de Dominio • Asegurar un Servidor de Infraestructura • Asegurar un Servidor de Ficheros • Asegurar un Servidor de Aplicaciones IIS • Aseguramiento en entornos no confiados • Bastionado • Asegurar un Servidor de Aplicaciones IIS • Asegurar un Servidor de Autenticación IAS

  48. Entornos no ConfiadosAcercando los servidores al enemigo • Servidores en redes perimetrales • Servidores DNS públicos • Servidores de aplicación IIS • Servidores de VPN • Servidores en redes de acceso remoto • Servidores de autenticación IAS

  49. Entornos no ConfiadosEstrategias • Utilizar Servidores Independientes • Cuentas locales • Directivas de seguridad local • Utilizar un bosque dedicado • Permite utilizar cuentas de administración comunes • Permite aplicar Directivas de Seguridad de Grupo • Se utilizará un bosque separado del bosque interno, para evitar el compromiso de cuentas de usuarios internos

  50. Servidores independientesAplicación de plantillas de seguridad • Plantillas de seguridad para cada servidor o rol • Aplicación local mediante herramientas • “Configuración y Análisis de Seguridad” • Permite la comparación y la aplicación de varias plantillas de seguridad • “SecEdit” • Línea de comandos • Permite aplicar plantillas mediante scripts

More Related