350 likes | 572 Views
Redes seguras con Windows XP Service Pack 2 Josep Lluís Paniagua Jaume Ferré Microsoft MVPs. Agenda. Windows Firewall: una red protegida Internet Explorer: navegación segura Outlook Express: gestión de correo seguro. Poll. Tengo Windows XP Service Pack 2 instalado
E N D
Redes seguras con Windows XP Service Pack 2Josep Lluís PaniaguaJaume FerréMicrosoft MVPs
Agenda • Windows Firewall: una red protegida • Internet Explorer: navegación segura • Outlook Express: gestión de correo seguro
Poll • Tengo Windows XP Service Pack 2 instalado • Instalaré Windows XP Service Pack 2 durante las próximas semanas • Espero a tener más información para instalar Windows XP Service Pack 2 • No instalaré Windows XP Service Pack 2
Una red protegida con el Firewall de WindowsEn Windows XP SP2, ICF cambia su denominación a “Firewall de Windows” Nuevas funcionalidades: • Activado por defecto para todas las conexiones del ordenador • Nueva configuración global que se aplica a todas las conexiones • Nuevos cuadros de diálogo para configuraciones locales • Excepciones de tráfico para programas específicamente indicados • Restricciones de tráfico según el origen • Soporte para RPC • Nuevo modo operativo • Seguridad desde el arranque • Soporte para IPv6
Activado por defecto en todas las conexiones del ordenador En Windows XP SP2, el Firewall de Windows está activado por defecto para todas las conexiones, incluidas: • LAN (cable y wireless) • Conexiones telefónicas • Virtual private network (VPN) • Cualquier nueva conexión llevará activado por defecto el Firewall Esta nueva funcionalidad provee más protección pero puede traer consecuencias a departamentos de IT por: Compatibilidad con aplicaciones Manejo remoto de PCs por la red
Nueva configuración global que se aplica a todas las conexiones • En versiones anteriores al SP2, ICF se debía configurar por conexión. • El Firewall de Windows en Windows XP SP2 permite configurar las conexiones globalmente:Los cambios son aplicados a todas las conexiones de red • Además permite configuraciones específicas por conexión: Una configuración específica de una conexión sobrescribe la configuración global.
Nuevos cuadros de diálogo para configuraciones locales Es posible configurar: • Configuraciones Generales • Configuraciones específicas por conexión • Configuración del log • Permitir tráfico ICMP • Permisos para programas y servicios Windows XP SP2 reemplaza el sencillo cuadro de ICF por un acceso directo en el Panel de Control
Excepciones de tráfico por nombre de programa En anteriores versiones esta configuración debía ser hecha manualmente • Difícil para usuarios que no conocían TCP/IP a fondo. • No funcionaba para aplicaciones que no escucharan puertos específicos. En Windows XP SP2, la excepciones de tráfico pueden ser configuradas para puertos y aplicaciones determinados • El Firewall monitoriza los puertos que la aplicación escucha y los añade automáticamente a la lista de trafico entrante permitido. • El mecanismo de notificación permite a los administradores locales añadir automáticamente las nuevas excepciones. El Firewall de Windows incluye excepciones preconfiguradas para las aplicaciones más comunes: • Compartir archivos e impresoras. • Universal Plug and Play.
Soporte RPC • RPC abre varios puertos y expone diferentes servidores en ellos. • El Firewall de Windows acepta llamadas a estos servicios RPC sólo si el que los solicita ejecuta en contextos Local System, Network Service, o Local Service. • El Firewall soporta perfiles que permiten a los puertos RPC ser sólo abiertos si el solicitante está en la lista de excepciones. • Las aplicaciones permitidas sobrescriben los permisos genéricos de RPC.
Restricciones de tráfico según origen En versiones anteriores no existía esta funcionalidad, que ha sido incluida en el SP2, y permite filtrar el origen por las siguientes condiciones: • Cualquier dirección IP • Direcciones IP de la misma subred • Una o más direcciones IP, específicas (solo IPv4) • Uno o más rangos de direcciones IP (solo IPv4)
Nuevo modo operativo Este modo permite bloquear todo el tráfico entrante, incluso el permitido, con un solo clic. Este nuevo modo se puede usar: • En conexiones a Internet desde lugares públicos como aeropuertos, hoteles, convenciones, etc… • Desde dentro de la red cuando temporalmente sea necesario bloquear las máquinas por ataques imprevistos. Cuando el Firewall vuelve a su estado original todas las configuraciones previas se mantienen.
Seguridad desde el arranque En versiones anteriores el Firewall no está activo hasta que este servicio arranca, lo que produce un retardo en la protección de la máquina, y permite ataques durante el arranque de la misma. Windows XP SP2 incluye una política de arranque para el Windows Firewall • Filtrado de paquetes básico que permite arrancar servicios básicos.Dynamic Host Configuration Protocol (DHCP)Domain Name System (DNS) • Después de que el servicio arranque este usa la configuración del mismo. • Si Windows Firewall está desactivado, igualmente funciona.
Navegación más segura con Microsoft Internet Explorer • Mejoras en descarga, adjuntos y Authenticode® • Gestor de complementos y detección de problemas • Barra de información • Gestión de tipos MIME • Caché de objetos • Bloqueador de ventanas emergentes • Publicadores de contenido no fiables • Restricciones de ventana • Elevación de zona
Descarga, adjuntos, y mejoras en Authenticode • ¿En qué consisten estas mejoras? • Cambios en los cuadros de diálogo: • Se ha añadido un nuevo icono • Se ha añadido una área de información en la parte inferior • Todos los ejecutables descargados validan la información del emisor • Después de la descarga, Internet Explorer muestra la información del emisor de la descarga
Descarga, adjuntos, y mejoras en Authenticode (2) • Cuadros de diálogo actuales
Descarga, adjuntos, y mejoras en Authenticode (3) • Windows XP SP2: nuevos cuadros de diálogo
Gestor de complementos y detección de problemas • ¿Qué hace el gestor de complementos y el detector de problemas? • El gestor de Add-on permite a los usuarios ver los controles instalados en Internet Explorer • El detector de problemas permite detectar los complementos que causen problemas en Internet Explorer
Gestor de complementos y detección de problemas (2) • Interfaz de gestor de complementos
Barra de información • ¿Qué hace la barra de información? • Reemplaza cuadros de diálogo • Contiene textos descriptivos que explican por qué la acción se ha realizado • Dispone de un menú sensitivo al contexto para que el usuario responda a la notificación
Configuración de la zona de seguridad • Tres nuevas configuraciones en la zona de seguridad que ayudan a gestionar la compatibilidad con aplicaciones: • MIME sniffing • Elevación de zona • Restricciones de Ventana
Configuración de la zona de seguridad (2) MIME sniffing The following table lists the default values for the URLACTION_FEATURE_MIME_SNIFFING flag in each security zone. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer \Main\FeatureControl\FEATURE_MIME_SNIFFING
Configuración de la zona de seguridad (3) Elevación de zona The following table lists the default values for the URLACTION_FEATURE_MIME_SNIFFING flag in each security zone. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer \Main\FeatureControl\FEATURE_ZONE_ELEVATION
Elevación de zona • ¿Qué hace el bloqueo de elevación de zona? • Muestra mensajes • “El sitio actual está intentando abrir un archivo que está en su lista de sitios de confianza. Si confía en este sitio proceda pulsando OK.” • “El sitio actual está en su lista de sitios restringidos y está intentando abrir un archivo que esta en su ordenador. Le recomendamos que no permita esto.” • En ambos casos , la acción por defecto no permite la elevación de zona. El usuario debe permitir explícitamente dicha elevación de zona.
Configuración de la zona de seguridad (4) Restricciones de ventana The following table lists the default values for the URLACTION_FEATURE_MIME_SNIFFING flag in each security zone. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer \Main\FeatureControl\FEATURE_WINDOWS_RESTRICTIONS
Bloqueador de ventanas emergentes • Activado por defecto al instalar SP2 • Bloqueo automático de pop-ups • Las ventanas abiertas por el usuario se siguen abriendo • Los sitios de confianza y la Intranet local no bloquean ventanas ya que se consideran zonas seguras • Configurable en el interfaz
Bloqueador de ventanas emergentes (2) • Configurable en la carpeta Privacidad, en el menú Herramientas / Opciones de Internet)
Correo seguro con Outlook Express Cambios en la interoperabilidad con HTML Usa funciones seguras de Internet Explorer APIs para adjuntos
Interoperabilidad HTML • Opción de texto plano • Realmente no es texto plano, es texto enriquecido • Filtrado de contenido HTML • No se descarga contenido HTML automáticamente • Indicador visual • Sin sonidos o frames
Interoperabilidad HTML (2) • ¿Porqué? • Código malicioso embebido • Prevención de confirmación de IP y e-mail • ¿Cómo? • Activado por defecto • Se puede modificar desde el menú Herramientas
Usa las funcionalidad de seguridad de Internet Explorer • Zonas • AES API • Manejo de Scripts • Manejo de ActiveX® • Activado por defecto • Modificable desde el menú Herramientas
Recursos • Windows XP SP2 en TechNet: http://www.microsoft.com/latam/technet/productos/windows/windowsxp/ • Windows XP SP2 en MSDN:http://msdn.microsoft.com/security/productinfo/xpsp2/default.aspx
© 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.