1 / 43

Windows 7 Security

Windows 7 Security. Paulo Dias IT Pro Evangelist Microsoft pdias@microsoft.com http://blogs.technet.com/pdias. Fernando Guillot IT Pro Evangelist Microsoft fernando.guillot@microsoft.com http://blogs.technet.com/guillot. Agenda. UAC y los Usuarios normales Bitlocker y Bitlocker ToGo

libitha
Download Presentation

Windows 7 Security

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Windows 7Security Paulo Dias IT Pro Evangelist Microsoft pdias@microsoft.com http://blogs.technet.com/pdias Fernando Guillot IT Pro Evangelist Microsoft fernando.guillot@microsoft.com http://blogs.technet.com/guillot

  2. Agenda • UAC y los Usuarios normales • Bitlocker y BitlockerToGo • Applocker

  3. UAC y los UsuariosNormales en Windows 7

  4. El verdaderomotivo de UAC • El objetivoúltimo: todoscorriendocómousuario Normal • ¿Porqué? • Seguridad: Applicacionesvulnerables = máquina vulnerable • TCO: Los usuarios no podrán romper susmáquinas tan fácilmente • Manageability: Usuarios no podrán romper laspolíticas • ¿Cómollegamosallí? • Sencillo: Reprogramatodastusaplicacionesparaquefuncionen con usuariosNormales

  5. UAC cómotecnología de Transición • Cambiar miles de aplicaciones a la vezpuederesultarbastanteproblemático • UAC esunatecnología de transición • Es unamaneramás suave de llegar a los usuariosnormales • Muchas de lasaplicacionesque no funcionaríancómo un usuario normal seguiránfuncionando con UAC

  6. Tipos de usuarios en Vista y Win7 • El Administrador: llamadoAdministrador • Un Administrador: tuusuario con permisos de administrador • ModoAprobación: tuusuario con accesofácil a los privilegios de Administradores • Usuarios Normal: Usuario sin permisos de administrador Mucho másseguro, peromenosconveniente, estoirá Mejorando en lassiguientesversiones. Se tiende a que Este usuario sea el de pordefecto Cuentapordefecto

  7. UAC en Windows 7 Demo • Similar al UAC de Vista • Muchasinterrupciónes al usuarioelimindas, haciendoquetodo el mundolaspuedahacer • La configuarción de UAC son plenamentevisibles en el panel de control • En vista habíaqueentrar en el Registro

  8. ¿Porquénosinterrumpe UAC? • Windows solíaejecutartodo con cuentasAdministradoraspordefecto • Los programadoreshacían lo quefueseparaquesusprocesoshiciensen el trabajo lo másrápidoposible • Algunas de estascosaseranmanipulación de privilegios de recursos, algunasvecesincluso sin saberlo • Estoesciertoparadesarrolladoresdentro de MS y aplicaciones de terceros.

  9. ¿PorquéInterrumpir? Estopermite al usuario Realizaroperaciones Elevadascuando Lo necesite Elevaciones de UAC Lo quepuedehacer un Admin Lo quepuedehacer Un Usuario normal Cosasque un usuario Normal necesitahacer Mientras, nosinterrumpen paraindicarqueestas son operacionesno queremosque se ejecuten sin nuestroconsentimiento

  10. ¿Qué son estaselevaciones? • Algunas son necesarios • Instalar o desinstalar software • Cambiarconfiguración del Firewall • Cambiar la hora del sistema • Algunas no son necesarias • Usoincorrecto y innecesario de ramas de registro • Cambio de husohorario • Ver sin modificarconfiguraciones del sistema

  11. ¿Y CuantoInterrumpe?

  12. Mitos de UAC • “Todo el mundodeshabilita UAC” • “Windows interrumpedemasiado” • Cuanto hay de mito? Cuanto de Realidad?

  13. ¿La mayoría de los Usuariosdeshabilita UAC? • UAC estáhabilitadopara el 88% de los usuarios • Si tuestrategia de desarrolloesesperar a que UAC desaparezcatalvez sea hora de reconsiderar

  14. ¿CuantoInterrumpe UAC? • MedirlasInterrupcionesporsesión • Sesión: • Empieza con el logon del usuarios • Acaba con el logoff del usuario o a las 24horas • La media de sesiónes de 8.2 horas

  15. Interrupcionesporsesión en RTM, SP1, Consumer y Enterprise

  16. Mejora de lasaplicaciones en el tiempo

  17. Másinformación • Windows 7 Blog • General http://blogs.msdn.com/e7/ • Especifico de UAChttp://blogs.msdn.com/e7/archive/2008/10/08/user-account-control.aspx

  18. Protegiendotuentorno en Windows 7 con Bitlocker y Bitlocker to Go

  19. ¿Quévamos a cubrir? • Capacidades de BitLocker • Encrypt FAT data volumes and removable storage devices • Recuperación de datosencryptados

  20. BitLocker + • Extiende la encriptación de los discos duros a los dispositivosexternos • Creación de políticas de grupoparaobligar al uso de encriptación y bloqueo de dispositivos no encriptados • Simplificar la instalación y configuración de la encriptación en el disco primario

  21. Nuevasfuncionalidades de BitLocker • BitLocker • Mejora en la Instalación • Partición de 200Mb Oculta • Nuevo protector de Llaves • BitLocker To Go • Soportepara FAT • Protectores: DRA, passphrase, smart card and/or auto-unlock • Nuevas GPO’s paramejorar la gestión en organizaciones • DisponibilidadporEdición • Lector de Bitlocker To Go (paraversionesanteriores)

  22. Hard Disk Requires at least two partitions Separate partitions for System and OS USB System boot from USB 1.x and 2.x USB read/write in pre-operating system environment TPM Version 1.2 o superior www.trustedcomputinggroup.org/specs/TPM www.trustedcomputinggroup.org/specs/PCClient BIOS TCG BIOS Specification Physical presence interface Memory overwrite on reset Immutable CRTM or secure update Trusted Platform Module (TPM)

  23. DEMO • Encryptar un dispositivo en formateado con FAT • Configurar BitlockertoGo por políticas

  24. Disk Layout and Key Storage ¿Dondeestá la Clave de Encriptación? • SRK (Storage Root Key) en el TPM • SRKencripta el VMK (Volume Master Key) • VMKencripta el FVEK (Full Volume Encryption Key) – usadopara los datosactuales de encriptación • FVEK y VMK sealmacenanencriptados en el volumen del SistemaOperativo Volumen del S.O. Contieneencriptado • El SistemaOperativo • El fichero de Paginación • Ficherostemporales • Datos • Fichero de Hibernación VMK FVEK 2 SRK 3 Volumen del SistemaOperativo 1 4 Volumen de Sistema Contiene MBR Boot Manager Boot Utilities Sistema

  25. BitLocker on Removable Drives

  26. GestionandoBitLocker en dispositivosExternos

  27. Pérdida u Olvido de códigos Actualización de los ficherosraiz Hardware estropeado Ataquedeliberado Escenarios de recuperación

  28. Develop Strategy Active Directory Data Recovery Agents Windows Recovery Environment Metodos de recuperación

  29. DEMO • Recuperar un dispositivo FAT32 • Gestionar y desencriptar un disco protegido con Bitlocker

  30. Resumen • Capacidades de Bitlocker • Encriptación de discos con BitLocker y Bitlocker To Go • Data Recovery Agent (DRA)

  31. AppLockeren Windows 7

  32. Problemática con Applicaciones • Aumento en el coste de soportedebido a • Applicaciones/Versiones no soportadas • Entornos no estandarizados • Problemas de licenciamiento de software • Applicaciones no lincenciadas • End user license agreements (EULA) • Problemas de hurto digital • Malware • Troyanos • Ingeniería social

  33. Formas de protección • Formastradicionales • Uso de UsuariosNormales, autenticaciónfuerte, … • Anti-virus, firewall, IDS, … • Control de acceso a datosporpolíticas • Access Control Policies (ACLs) • DRM, encriptación, … • Sin embargo… • Cualquier software queestéejecutandosepor un usuariotiene los mismospermisos a los datosque el propiousuario

  34. Software Restriction Policies (SRP) • Los administradorescontrolan la execución en los entornos • Bloquear/Denegar un listado de aplicaciones no autorizadas • Posibleperopocoefectivo • Permitir un listado de Software válido • Aplicaciones, librerías, scripts, e instalacionesquepermitiremosejecutarse • Software no conocido se bloquearápordefecto

  35. SRP en Windows • Se introdujo en XP y en Windows 2003 • Gestionado de maneracentralizadaporpolíticas • 4 tipos de reglas • Hash, Certificate, Path y Zona • Sin embargo… • Gestiondíficil • Los Hashes de lasreglas de Hash no sobreviven a aplicacionesactualizadas • Las reglas de certificados no utilizabaninformación del publicador • Difícil de probar en real • Implementado en modoUsuario, hacíaquefuese mucho menosefectivo

  36. AppLockeren Windows 7 • Mejora la gestión • Mejoraexperiencia de usuario • Generación de reglasautomáticas • SoporteparaAuditorías de políticas • SoporteparaPowerShell • Implementado en modo Kernel

  37. Mejora de la GestiónNueva experiencia de Usuario

  38. Microsoft Confidential Mejora de la Gestión Autogeneración de Reglas

  39. Microsoft Confidential Mejora de la Gestión Reglas de Publicación

  40. Mejora de la Gestión PowerShell • Descarga y análisis de Logs • Crearunanuevapolítica de prueba • Verqueficheroscorrerán • Aplicar la política • Get-AppLockerFileInformation • New-AppLockerPolicy • Test-AppLockerPolicy • Set-AppLockerPolicy Escenario: Después de auditarunapolíticadurnate 2 semanas, queremosanalizar los logs paraajustar la política. De estamanerapodremosestarseguros a la hora de forzar la política en nuestraorganización

  41. Mejora de la Gestión • Implementaciónsimplificada con el modo Audit-Only • Excepciones • Condiciones de Usuariosdentro de Reglas • Mensajes de Error personalizados

  42. Digital Assets scenariowith AppLocker demo

More Related