Microsoft Windows en el proceso de certificación. Seguridad en Microsoft Windows Server 2003...

Microsoft Windows en el Microsoft Windows en el proceso de certificación.proceso de certificación.Seguridad en Microsoft Seguridad en Microsoft Windows Server 2003Windows Server 2003

Santiago NúñezSantiago Núñez

Consultor TécnicoConsultor Técnico

MicrosoftMicrosoft

Confidencialidad: garantizar que sólo los usuarios y Confidencialidad: garantizar que sólo los usuarios y aplicaciones autorizados acceden a la informaciónaplicaciones autorizados acceden a la información

Integridad: asegurarIntegridad: asegurar queque lala informacióninformación nono ha sidoha sido modificadamodificada

Disponibilidad:Disponibilidad: garantizar que la garantizar que la información está información está accesible a usuarios y aplicacionesaccesible a usuarios y aplicaciones

Principios de SeguridadPrincipios de Seguridad

Inte

grid

ad

Confid

encia

lida

d

Disp

onib

ilidad

Parámetros de seguridadParámetros de seguridadSituación actualSituación actual

TecnologíaTecnologíaProcesosProcesos

GenteGente

++

--

AgendaAgenda

Diferenciar el servidor por su función y su Diferenciar el servidor por su función y su entornoentorno

Aseguramiento en entornos confiadosAseguramiento en entornos confiados Asegurar un Controlador de DominioAsegurar un Controlador de Dominio Asegurar un Servidor de InfraestructuraAsegurar un Servidor de Infraestructura Asegurar un Servidor de FicherosAsegurar un Servidor de Ficheros Asegurar un Servidor de Aplicaciones IISAsegurar un Servidor de Aplicaciones IIS

Aseguramiento en entornos no confiadosAseguramiento en entornos no confiados BastionadoBastionado Asegurar un Servidor de Aplicaciones IISAsegurar un Servidor de Aplicaciones IIS Asegurar un Servidor de Autenticación IASAsegurar un Servidor de Autenticación IAS

Servidores con diversas

funciones

Amenaza interna o accidental

Recursos limitados para implementar

soluciones seguras

Carencia de experiencia en

seguridad

Utilización de sistemas

antiguos

Consecuencias legales

El acceso físico anula muchos

procedimientos de seguridad

Seguridad de los servidoresSeguridad de los servidoresSituación actualSituación actual

Seguridad de los servidoresSeguridad de los servidoresSituación actualSituación actual

La complejidad es enemiga de la seguridadLa complejidad es enemiga de la seguridad

Seguridad de los servidoresSeguridad de los servidoresPrimeros pasosPrimeros pasos

Diferenciar los servidores:Diferenciar los servidores: Valor o criticidad de los datos o aplicacionesValor o criticidad de los datos o aplicaciones Nivel de exposiciónNivel de exposición Rol o funciónRol o función

Y entonces:Y entonces: Priorizar los recursos destinadosPriorizar los recursos destinados Aplicar distintas políticas según el rol y el Aplicar distintas políticas según el rol y el

nivel de exposiciónnivel de exposición

Diferenciar servidoresDiferenciar servidoresSegún su criticidadSegún su criticidad

La criticidad de un servidor la puede La criticidad de un servidor la puede determinar:determinar: Los datos que contiene el servidor: cuentas Los datos que contiene el servidor: cuentas

de usuarios, información financiera, datos de usuarios, información financiera, datos sensiblessensibles

El servicio que ofreceEl servicio que ofrece El nivel de servicio necesario (SLA)El nivel de servicio necesario (SLA)

Una infraestructura debe “aislar” los Una infraestructura debe “aislar” los sistemas más críticossistemas más críticos La seguridad de un sistema crítico no debe La seguridad de un sistema crítico no debe

depender de la seguridad de otro de menor depender de la seguridad de otro de menor criticidadcriticidad

Diferenciar servidoresDiferenciar servidoresSegún su ubicaciónSegún su ubicación

La ubicación puede determinar el nivel de La ubicación puede determinar el nivel de exposición a distintos atacantesexposición a distintos atacantes Zona interna de confianzaZona interna de confianza Zona de acceso remotoZona de acceso remoto Zona perimetralZona perimetral

Las políticas de seguridad pueden variar Las políticas de seguridad pueden variar según la exposiciónsegún la exposición

Diferenciar servidoresDiferenciar servidoresSegún su funcionalidadSegún su funcionalidad

Cada servidor tendrá una serie de Cada servidor tendrá una serie de funcionalidades lícitasfuncionalidades lícitas Controladores de dominioControladores de dominio Servidores de infraestructura: DHCP, WINSServidores de infraestructura: DHCP, WINS Servidores de archivosServidores de archivos Servidores de impresiónServidores de impresión Servidores de aplicación IISServidores de aplicación IIS Servidores de autenticación IASServidores de autenticación IAS Servidores de certificaciónServidores de certificación Servidores bastionesServidores bastiones

Pueden aparecer otros rolesPueden aparecer otros roles Hacer que cada servidor sea un representante único Hacer que cada servidor sea un representante único

de su rol, dificulta la gestión.de su rol, dificulta la gestión.

Cada capa establece sus Cada capa establece sus defensas:defensas: Datos y Recursos:Datos y Recursos:

ACLs, CifradoACLs, Cifrado Defensas de Defensas de

Aplicación:Aplicación: Validación de Validación de las entradas, Antiviruslas entradas, Antivirus

Defensas de Host:Defensas de Host: Asegurar el SO, aplicar Asegurar el SO, aplicar revisiones y SP, Auditoriarevisiones y SP, Auditoria

Defensas de red:Defensas de red: Segmentación, VLAN Segmentación, VLAN ACLs, IPSecACLs, IPSec

Defensas de perímetro:Defensas de perímetro: Filrado de paquetes, IDS, Filrado de paquetes, IDS, Cuarentena en VPNCuarentena en VPN

Datos y Recursos

Defensas de Aplicación

Defensas de Host

Defensas de Red

Defensas de Perímetro

Estrategia de Defensa en ProfundidadEstrategia de Defensa en Profundidad

Cada capa asume que Cada capa asume que la capa anterior ha la capa anterior ha fallado:fallado: Medidas redundantesMedidas redundantes

Seguridad FísicaSeguridad Física Todo bajo la dirección Todo bajo la dirección

de la política de de la política de seguridad de la seguridad de la empresaempresa

Basada en capas:Basada en capas: AumentaAumenta lala posibilidadposibilidad

dede queque sese detectendetecten loslos intrusosintrusos

DisminuyeDisminuye lala oportunidadoportunidad dede queque loslos intrusosintrusos logrenlogren susu propósitopropósito

Directivas, procedimientos,

formación y concienciación

Directivas, procedimientos,

formación y concienciación

Seguridad físicaSeguridad física

Datos y Recursos

Defensas de Aplicación

Defensas de Host

Defensas de Red

Defensas de Perímetro

Asu

me f

allo

de la c

apa a

nte

rior

Estrategia de Defensa en ProfundidadEstrategia de Defensa en Profundidad

Seguridad de ServidorSeguridad de ServidorPrácticas BásicasPrácticas Básicas

Aplicar Service PacksAplicar Service Packs Aplicar las Revisiones de SeguridadAplicar las Revisiones de Seguridad Subscribirse a los boletines de seguridadSubscribirse a los boletines de seguridad

““TechNet Security Day I”TechNet Security Day I”

AgendaAgenda




Seguridad en Entornos ConfiadosSeguridad en Entornos ConfiadosEstrategiaEstrategia

Asegurar el entorno de Active DirectoryAsegurar el entorno de Active Directory Crear un diseño teniendo en cuenta las Crear un diseño teniendo en cuenta las

implicaciones de seguridadimplicaciones de seguridad Revisar el diseño actualRevisar el diseño actual

Crear una Línea Base de Seguridad para Crear una Línea Base de Seguridad para todos los servidores integrantestodos los servidores integrantes ““Mínimo Común” de la seguridadMínimo Común” de la seguridad

Afinar esa Base para cada uno de los Afinar esa Base para cada uno de los roles específicosroles específicos

Active DirectoryActive DirectoryComponentesComponentes BosqueBosque

Un bosque funciona Un bosque funciona como límite de como límite de seguridad en Active seguridad en Active DirectoryDirectory

DominioDominio Facilita la gestiónFacilita la gestión

Unidad organizativaUnidad organizativa Contenedor de Contenedor de

objetosobjetos Directivas de grupoDirectivas de grupo

Herramienta clave Herramienta clave para implementar y para implementar y administrar la administrar la seguridad de una redseguridad de una red

Active DirectoryActive DirectoryConsideraciones de diseñoConsideraciones de diseño Crear un Plan de Seguridad de Active DirectoryCrear un Plan de Seguridad de Active Directory Establecer claramente los límites de seguridad Establecer claramente los límites de seguridad

y administrativosy administrativos Seguridad basada en la infraestructura de dominiosSeguridad basada en la infraestructura de dominios Separación de administradoresSeparación de administradores

Gestionar cuidadosamente grupos con elevados privilegiosGestionar cuidadosamente grupos con elevados privilegios Administradores de Empresa (Enterprise Admins)Administradores de Empresa (Enterprise Admins) Administradores de Esquema (Schema Admins)Administradores de Esquema (Schema Admins)

Delegar tareas administrativasDelegar tareas administrativas Crear una Estructura de Unidades OrganizativasCrear una Estructura de Unidades Organizativas

Para delegación de administración.Para delegación de administración. Para la aplicación de directivas de grupoPara la aplicación de directivas de grupo

Si ya está desplegado AD, revisar el diseño Si ya está desplegado AD, revisar el diseño actual para conocer mejor las posibles actual para conocer mejor las posibles vulnerabilidadesvulnerabilidades

Diseño de Active DirectoryDiseño de Active DirectoryPlan de SeguridadPlan de Seguridad Analizar el entornoAnalizar el entorno

Centro de datos de intranetCentro de datos de intranet SucursalesSucursales Centro de datos de extranetCentro de datos de extranet

Realizar un análisis de las amenazasRealizar un análisis de las amenazas Identificar las amenazas para Active DirectoryIdentificar las amenazas para Active Directory

Identificar los tipos de amenazasIdentificar los tipos de amenazas Identificar el origen de las amenazasIdentificar el origen de las amenazas

Determinar medidas de seguridad para las Determinar medidas de seguridad para las amenazas amenazas

Establecer planes de contingenciaEstablecer planes de contingencia

Diseño de Active DirectoryDiseño de Active DirectoryRecomendaciones de AdministraciónRecomendaciones de Administración

Separación de roles de administraciónSeparación de roles de administración Administradores de servicioAdministradores de servicio

Encargados de configurar y administrar los distintos Encargados de configurar y administrar los distintos servicios de ADservicios de AD

Controlan la replicación y el correcto funcionamientoControlan la replicación y el correcto funcionamiento Copias de seguridad y restauración de ADCopias de seguridad y restauración de AD Administran los controladores de dominio y servidores de Administran los controladores de dominio y servidores de

infraestructurainfraestructura

Administradores de datosAdministradores de datos Administran subconjuntos de objetos de AD:Administran subconjuntos de objetos de AD:

Usuarios, grupos, carpetas compartidasUsuarios, grupos, carpetas compartidas Equipos, servidores integrantes y los datos que Equipos, servidores integrantes y los datos que

contienencontienen

Diseño de Active DirectoryDiseño de Active DirectoryAutonomía o AislamientoAutonomía o Aislamiento Autonomía (control no exclusivo) Autonomía (control no exclusivo)

Autonomía de servicioAutonomía de servicio Crear un bosque para autonomía de esquema, autoridades Crear un bosque para autonomía de esquema, autoridades

de certificación de empresa, etc.de certificación de empresa, etc. Crear un dominio para autonomía de directivas de grupo, Crear un dominio para autonomía de directivas de grupo,

políticas de contraseñapolíticas de contraseña Autonomía de datosAutonomía de datos

Crear una OU para delegar control a los administradores de Crear una OU para delegar control a los administradores de datosdatos

Aislamiento (control exclusivo)Aislamiento (control exclusivo) Aislamiento de servicioAislamiento de servicio

Crear un bosqueCrear un bosque Aislamiento de datosAislamiento de datos

Crear una OU para aislar de otros administradores de datosCrear una OU para aislar de otros administradores de datos Crear un bosque para aislar de los administradores de Crear un bosque para aislar de los administradores de

servicioservicio

Administración Active DirectoryAdministración Active DirectoryRecomendaciones generalesRecomendaciones generales

Delegar los permisos mínimos necesarios Delegar los permisos mínimos necesarios para cada rolpara cada rol

Utilizar doble cuenta para usuarios Utilizar doble cuenta para usuarios administradoresadministradores Cuenta de administración (no genérica)Cuenta de administración (no genérica) Cuenta de usuario: acceso al correo, Cuenta de usuario: acceso al correo,

documentar, navegardocumentar, navegar Utilizar autenticación fuerte para cuentas Utilizar autenticación fuerte para cuentas

de administraciónde administración Autenticación de dos factores:Autenticación de dos factores:

Smart Card y PINSmart Card y PIN

Diseño de Active DirectoryDiseño de Active DirectoryBosquesBosques

Separar en otro bosque los servidores de Separar en otro bosque los servidores de ExtranetExtranet

Crear otro bosque para aislar administradores Crear otro bosque para aislar administradores de serviciosde servicios

Bosques y dominiosBosques y dominios Bosque = Límite real de seguridadBosque = Límite real de seguridad Dominio = Límite de gestión para administradores con Dominio = Límite de gestión para administradores con

buen comportamientobuen comportamientoMúltiples bosquesMúltiples bosques

BosqueBosque BosqueBosque

TrustTrust

Diseño de Active DirectoryDiseño de Active DirectoryJerarquía de Unidades OrganizativasJerarquía de Unidades Organizativas

Una jerarquía de Una jerarquía de unidades organizativas unidades organizativas basada en funciones basada en funciones de servidor:de servidor: Simplifica la Simplifica la

administraciónadministraciónde la seguridadde la seguridad

Aplica la configuración Aplica la configuración de directivas de de directivas de seguridad a los seguridad a los servidores y a otros servidores y a otros objetos en cada objetos en cada unidad organizativaunidad organizativa

Directiva de dominio Dominio

Diseño de dominios

Directiva de línea de base de servidor

integrante

Servidores integrantes

Controladores de dominio

Directiva de controladores de dominio

Directiva de servidores

de impresión

Directiva de servidores de archivos

Directiva de servidores IIS

Servidores de impresión

Servidores de archivos

Servidores Web

Administrador de operaciones

Administrador de operaciones

Administrador de servicios

Web

Directiva de Grupo de DominioDirectiva de Grupo de DominioFortalecimiento de la configuraciónFortalecimiento de la configuración

Revisar y modificar la Directiva por Revisar y modificar la Directiva por defectodefecto Es posible que no se adecue a las políticas Es posible que no se adecue a las políticas

de la empresade la empresa Para modificarla existen dos estrategias:Para modificarla existen dos estrategias:

Modificar la Directiva por defectoModificar la Directiva por defecto Crear una Directiva IncrementalCrear una Directiva Incremental

Políticas de cuentas para los usuarios del Políticas de cuentas para los usuarios del dominiodominio

Caducidad y Complejidad de ContraseñasCaducidad y Complejidad de Contraseñas Bloqueo y Desbloqueo de cuentasBloqueo y Desbloqueo de cuentas

DemostraciónDemostración

Delegación de administraciónDelegación de administraciónyy aplicaciónaplicación dede unauna plantillaplantilla

dede seguridadseguridad

DelegaciónDelegación deldel controlcontrol aa unun grupogrupo administrativoadministrativo

AplicaciónAplicación dede lala plantillaplantilla dede seguridadseguridad dede dominiodominio

Refuerzo de SeguridadRefuerzo de SeguridadProcesoProceso

Configuración de seguridad de línea de base para todos Configuración de seguridad de línea de base para todos los servidores integrantes los servidores integrantes

Opciones de configuración adicionales para servidores Opciones de configuración adicionales para servidores con funciones específicascon funciones específicas

Utilizar GPResult para verificar la aplicaciónUtilizar GPResult para verificar la aplicación

Servidores deinfraestructuras

Servidores de archivos

Servidores IIS

Autoridades de Certificación

Hosts bastiones

SeguridadActive Directory

Directiva delínea de base de servidores

integrantesServidores RADIUS

Pro

ce

dim

ien

tos

de

re

fue

rzo

de

la

se

gu

rid

ad

Configuración de seguridad incremental basada en funciones

Línea Base de SeguridadLínea Base de SeguridadRecomendacionesRecomendaciones Se aplicará a todos los servidores integrantesSe aplicará a todos los servidores integrantes

No a los controladores de dominioNo a los controladores de dominio OpcionesOpciones dede lala plantilla:plantilla:

DirectivaDirectiva dede auditoriaauditoria Inicio y fin de sesión, cambios en la políticaInicio y fin de sesión, cambios en la política

AsignaciónAsignación dede derechosderechos dede usuariousuario Permitir inicio de sesión local en los servidoresPermitir inicio de sesión local en los servidores

OpcionesOpciones dede seguridadseguridad Nombres de cuentas de administrador y de invitadoNombres de cuentas de administrador y de invitado Acceso a la unidad de CD-ROM y de disqueteAcceso a la unidad de CD-ROM y de disquete Los mensajes de inicio de sesiónLos mensajes de inicio de sesión

RegistroRegistro dede sucesossucesos Tamaño Tamaño

ServiciosServicios deldel sistemasistema Comportamiento de inicioComportamiento de inicio

Línea Base de SeguridadLínea Base de SeguridadRecomendacionesRecomendaciones

No aplicar directamente las plantillas:No aplicar directamente las plantillas: Revisar detalladamente todas las opcionesRevisar detalladamente todas las opciones Probar los cambios en entorno de laboratorio Probar los cambios en entorno de laboratorio

antes de implementarlos en producciónantes de implementarlos en producción

Línea Base de SeguridadLínea Base de SeguridadPosibles cambiosPosibles cambios Para evitar operaciones remotas de los Para evitar operaciones remotas de los

administradores de servicioadministradores de servicio Utilizar la política “Denegar inicio de sesión desde Utilizar la política “Denegar inicio de sesión desde

red”red” Cuidado con las opciones del registro de Cuidado con las opciones del registro de

sucesos cuando se llenasucesos cuando se llena Denegación de servicio si se llena el registro de Denegación de servicio si se llena el registro de

seguridadseguridad Compatibilidad con sistemas anteriores, hace Compatibilidad con sistemas anteriores, hace

rebajar el nivel de seguridad:rebajar el nivel de seguridad: ““Firmar digitalmente las comunicaciones (siempre)” Firmar digitalmente las comunicaciones (siempre)”

(SMB)(SMB) ““No permitir enumeraciones anónimas de cuentas”No permitir enumeraciones anónimas de cuentas” ““No almacenar el valor de hash de Lan Manager”No almacenar el valor de hash de Lan Manager” ““Nivel de Autenticación de Lan Manager”Nivel de Autenticación de Lan Manager”

Línea Base de SeguridadLínea Base de SeguridadOtras opcionesOtras opciones

Asegurar la pila TCP/IPAsegurar la pila TCP/IP Prevenir ataques DoSPrevenir ataques DoS

Deshabilitar la generación automática de Deshabilitar la generación automática de nombres 8.3 en NTFSnombres 8.3 en NTFS

Deshabilitar la opción de ejecución Deshabilitar la opción de ejecución automática de CD-ROMs (Autorun)automática de CD-ROMs (Autorun)

Orden de búsqueda de DLLsOrden de búsqueda de DLLs

AgendaAgenda




Asegurar un Controlador de Asegurar un Controlador de DominioDominio Son los servidores más importantes de la Son los servidores más importantes de la

infraestructurainfraestructura Poseen la información de todos los objetos del Active DirectoryPoseen la información de todos los objetos del Active Directory

La seguridad física es importanteLa seguridad física es importante Ubicados en salas con control de accesoUbicados en salas con control de acceso

Las copias de seguridad poseen también información Las copias de seguridad poseen también información críticacrítica Se deben almacenar en entornos con control de accesoSe deben almacenar en entornos con control de acceso

Proceso de Instalación:Proceso de Instalación: En ubicaciones controladasEn ubicaciones controladas Bajo la supervisión de administradoresBajo la supervisión de administradores Utilizando procedimientos automatizadosUtilizando procedimientos automatizados

Controladores de dominioControladores de dominioPlantilla de seguridadPlantilla de seguridad La mayoría de las directivas coincidirán con la Línea La mayoría de las directivas coincidirán con la Línea

Base de SeguridadBase de Seguridad Mayores restricciones en los derechos de usuariosMayores restricciones en los derechos de usuarios

Inicio de sesión interactiva: Sólo administradoresInicio de sesión interactiva: Sólo administradores Inicio de sesión por TS: Sólo administradoresInicio de sesión por TS: Sólo administradores Restauración: Sólo administradoresRestauración: Sólo administradores Cambiar la hora del sistema: Sólo administradoresCambiar la hora del sistema: Sólo administradores

Configuración servicios específicos:Configuración servicios específicos: DFSDFS DNSDNS NTFRSNTFRS KDCKDC

Controladores de DominioControladores de DominioMedidas de Seguridad AdicionalesMedidas de Seguridad Adicionales

Reubicar los directorios de la base de Reubicar los directorios de la base de datos y logs de Active Directorydatos y logs de Active Directory

Incrementar el tamaño de los registros de Incrementar el tamaño de los registros de eventoseventos

Asegurar el servicio DNSAsegurar el servicio DNS Utilizar actualizaciones dinámicas segurasUtilizar actualizaciones dinámicas seguras Limitar las transferencias de zonasLimitar las transferencias de zonas

Bloquear puertos con IPSecBloquear puertos con IPSec

AgendaAgenda




Servidores DHCP y WINSServidores DHCP y WINS Se utilizará una plantilla de seguridadSe utilizará una plantilla de seguridad

incremental específica para incremental específica para ServidorServidor dede infraestructurasinfraestructuras

Se configurarán Se configurarán manualmentemanualmente laslas opcionesopciones adicionalesadicionales

Asegurar un Servidor de Asegurar un Servidor de InfraestructuraInfraestructura

Servidor de InfraestructuraServidor de InfraestructuraPlantilla de seguridadPlantilla de seguridad

Heredará las directivas de la Línea Base Heredará las directivas de la Línea Base de Seguridadde Seguridad

Modificará los Servicios para incluir:Modificará los Servicios para incluir: Inicio y seguridad de los servicios DHCP y Inicio y seguridad de los servicios DHCP y

WINSWINS

Servidor de InfraestructuraServidor de InfraestructuraConfiguraciones adicionalesConfiguraciones adicionales

Es recomendable establecer las siguientes Es recomendable establecer las siguientes configuraciones adicionales:configuraciones adicionales: Configuración de registro (log) de DHCPConfiguración de registro (log) de DHCP Protección frente a DoS (80/20)Protección frente a DoS (80/20)

Evitar perdida de servicioEvitar perdida de servicio

Usar cuentas de servicio:Usar cuentas de servicio: No privilegiadasNo privilegiadas Cuentas localesCuentas locales

Protección de cuentas locales:Protección de cuentas locales: AdministradorAdministrador InvitadoInvitado

Permitir tráfico sólo a puertos autorizados mediante Permitir tráfico sólo a puertos autorizados mediante filtros IPSecfiltros IPSec

AgendaAgenda




Balanceo entre seguridad y facilidad de Balanceo entre seguridad y facilidad de usouso

Basados en SMB o CIFS:Basados en SMB o CIFS: Utilizan NetBIOSUtilizan NetBIOS Proporcionar información a usuarios no Proporcionar información a usuarios no

autenticadosautenticados

Asegurar un Servidor de Asegurar un Servidor de ArchivosArchivos

Servidor de ArchivosServidor de ArchivosPlantilla de seguridadPlantilla de seguridad

Heredará las directivas de la Línea Base Heredará las directivas de la Línea Base de Seguridadde Seguridad

Deshabilitar DFS y NTFRS si no son Deshabilitar DFS y NTFRS si no son necesariosnecesarios DFS: Sistema distribuidos de ficherosDFS: Sistema distribuidos de ficheros NTFRS: Replicación de ficherosNTFRS: Replicación de ficheros

Servidor de ArchivosServidor de ArchivosConfiguraciones adicionalesConfiguraciones adicionales

Utilizar ACLs para controlar el acceso:Utilizar ACLs para controlar el acceso: Sobre archivos y carpetas compartidos mediante Sobre archivos y carpetas compartidos mediante

NTFSNTFS Sobre los recursos compartidosSobre los recursos compartidos Evitar: Todos/Control TotalEvitar: Todos/Control Total

Uso de auditoria sobre archivos importantes:Uso de auditoria sobre archivos importantes: Perjudica el rendimientoPerjudica el rendimiento

Asegurar cuentas conocidas:Asegurar cuentas conocidas: InvitadoInvitado AdministradorAdministrador

Filtrado de tráfico mediante IPSec Filtrado de tráfico mediante IPSec para permitir sólo puertos específicospara permitir sólo puertos específicos

AgendaAgenda




Se debe proteger cada servidor IIS y cada Se debe proteger cada servidor IIS y cada aplicaciónaplicación

Se utilizará una plantilla incrementalSe utilizará una plantilla incremental

Asegurar un Servidor de Asegurar un Servidor de Aplicaciones IISAplicaciones IIS

Servidor de Aplicaciones IISServidor de Aplicaciones IISPlantilla de seguridadPlantilla de seguridad

Aplica las directivas de la Línea Base de Aplica las directivas de la Línea Base de SeguridadSeguridad

Permisos de usuario:Permisos de usuario: ““Denegar acceso a este equipo desde la red”Denegar acceso a este equipo desde la red”

Incluir: administrador local, Invitado, etc.Incluir: administrador local, Invitado, etc.

Servicios para incluir:Servicios para incluir: HTTP SSLHTTP SSL IIS AdminIIS Admin W3CW3C

Servidor de Aplicaciones IISServidor de Aplicaciones IISConfiguraciones adicionalesConfiguraciones adicionales Instalar sólo los componentes necesariosInstalar sólo los componentes necesarios Habilitar sólo las extensiones necesariasHabilitar sólo las extensiones necesarias Ubicar el contenido en volúmenes dedicadosUbicar el contenido en volúmenes dedicados

Evitar usar el volumen de sistemaEvitar usar el volumen de sistema Establecer permisos NTFSEstablecer permisos NTFS Establecer permisos IIS sobre los sitios webEstablecer permisos IIS sobre los sitios web

Evitar permisos de ejecución y escritura en el mismo sitio webEvitar permisos de ejecución y escritura en el mismo sitio web Evitar cuentas de servicio de dominioEvitar cuentas de servicio de dominio Asegurar cuentas conocidas:Asegurar cuentas conocidas:

InvitadoInvitado AdministradorAdministrador

Filtrado de tráfico mediante IPSec Filtrado de tráfico mediante IPSec para permitir sólo puertos específicos (80,443)para permitir sólo puertos específicos (80,443)

AgendaAgenda




Entornos no ConfiadosEntornos no ConfiadosAcercando los servidores al enemigoAcercando los servidores al enemigo

Servidores en redes perimetralesServidores en redes perimetrales Servidores DNS públicosServidores DNS públicos Servidores de aplicación IISServidores de aplicación IIS Servidores de VPNServidores de VPN

Servidores en redes de acceso remotoServidores en redes de acceso remoto Servidores de autenticación IASServidores de autenticación IAS

Entornos no ConfiadosEntornos no ConfiadosEstrategiasEstrategias

Utilizar Servidores IndependientesUtilizar Servidores Independientes Cuentas localesCuentas locales Directivas de seguridad localDirectivas de seguridad local

Utilizar un bosque dedicadoUtilizar un bosque dedicado Permite utilizar cuentas de administración Permite utilizar cuentas de administración

comunescomunes Permite aplicar Directivas de Seguridad de Permite aplicar Directivas de Seguridad de

GrupoGrupo Se utilizará un bosque separado del bosque Se utilizará un bosque separado del bosque

interno, para evitar el compromiso de interno, para evitar el compromiso de cuentas de usuarios internoscuentas de usuarios internos

Servidores independientesServidores independientesAplicación de plantillas de seguridadAplicación de plantillas de seguridad

Plantillas de seguridad para cada servidor Plantillas de seguridad para cada servidor o rolo rol

Aplicación local mediante herramientasAplicación local mediante herramientas ““Configuración y Análisis de Seguridad”Configuración y Análisis de Seguridad”

Permite la comparación y la aplicación de varias Permite la comparación y la aplicación de varias plantillas de seguridadplantillas de seguridad

““SecEdit” SecEdit” Línea de comandosLínea de comandos Permite aplicar plantillas mediante scriptsPermite aplicar plantillas mediante scripts

Bosque dedicadoBosque dedicadoAplicación de políticasAplicación de políticas

Bosques independientesBosques independientes Permite una administración centralizada Permite una administración centralizada

de la red perimetralde la red perimetral

AgendaAgenda




BastionadoBastionadoServidores con acceso públicoServidores con acceso público

Servidores expuestos a ataques externos.Servidores expuestos a ataques externos. Minimizar la superficie de ataque.Minimizar la superficie de ataque.

Normalmente Normalmente unouno de los siguientes roles de los siguientes roles Servidores de Aplicación IISServidores de Aplicación IIS Servidores DNSServidores DNS Servidores SMTPServidores SMTP Otros servicios de Internet: NNTP, FTPOtros servicios de Internet: NNTP, FTP

Servidores IndependientesServidores Independientes Política de seguridad muy restrictivaPolítica de seguridad muy restrictiva

BastionadoBastionadoPolítica de seguridadPolítica de seguridad

Derechos de usuarioDerechos de usuario ““Permitir el inicio de sesión local”Permitir el inicio de sesión local”

AdministradoresAdministradores

““Denegar el acceso desde la red a este Denegar el acceso desde la red a este equipo”equipo” ANONYMOUS LOGONANONYMOUS LOGON AdministradorAdministrador Support_388945a0Support_388945a0 Invitado (* no el grupo Invitados)Invitado (* no el grupo Invitados) El resto de cuentas de servicio que no son del SOEl resto de cuentas de servicio que no son del SO


Servicios deshabilitadosServicios deshabilitados Todos los de la Línea Base y algunos más:Todos los de la Línea Base y algunos más:

Actualizaciones automáticasActualizaciones automáticas Administrador de acceso remotoAdministrador de acceso remoto Cliente DHCPCliente DHCP Examinador de equipos (Computer Browser)Examinador de equipos (Computer Browser) Proveedor de compatibilidad de seguridad LM con Proveedor de compatibilidad de seguridad LM con

Windows NTWindows NT Registro RemotoRegistro Remoto ServidorServidor Servicios de Terminal ServicesServicios de Terminal Services TCP/IP NetBIOS Helper Service TCP/IP NetBIOS Helper Service NetBIOS sobre NetBIOS sobre

TCP/IPTCP/IP


Servicios habilitadosServicios habilitados Sólo los servicios imprescindiblesSólo los servicios imprescindibles

Correspondiente al rol “SMTP”, “W3C”Correspondiente al rol “SMTP”, “W3C” Administrador de cuentas de seguridad Administrador de cuentas de seguridad Inicio de sesión en red (Netlogon)Inicio de sesión en red (Netlogon) Estación de trabajoEstación de trabajo

BastionadoBastionadoConfiguraciones adicionalesConfiguraciones adicionales

Deshabilitar los protocolos innecesariosDeshabilitar los protocolos innecesarios Cliente para redes MicrosoftCliente para redes Microsoft Compartir impresoras y archivos para redes Compartir impresoras y archivos para redes

MicrosoftMicrosoft NetBIOS sobre TCP/IPNetBIOS sobre TCP/IP

Asegurar las cuentas conocidasAsegurar las cuentas conocidas InvitadoInvitado AdministradorAdministrador

Bloqueo de puertos mediante IPSecBloqueo de puertos mediante IPSec

FiltrosFiltros parapara tráficotráfico permitidopermitido yy bloqueadobloqueado No se produce ninguna negociación real de No se produce ninguna negociación real de

las asociaciones de seguridad de IPSeclas asociaciones de seguridad de IPSec Los filtros se solapan: la coincidencia más Los filtros se solapan: la coincidencia más

específica determina la acciónespecífica determina la acción No proporciona filtrado de estadoNo proporciona filtrado de estado

Desde IP A IP Protocolo Puerto de origen

Puerto de

destinoAcción

Cualquiera Mi IP de Internet Cualquiera N/D N/D Bloquear

Cualquiera Mi IP de Internet TCP Cualquiera 80 Permitir

BastionadoBastionadoFiltrado IPSecFiltrado IPSec

DemostraciónDemostración

AplicaciónAplicación dede la plantillala plantilla dede seguridad de bastionadoseguridad de bastionado

AplicaciónAplicación dede lala plantillaplantilla dede seguridadseguridad a un servidor a un servidor

independienteindependiente

AgendaAgenda




Servidor de Aplicaciones IISServidor de Aplicaciones IISReforzar la seguridadReforzar la seguridad

Se aplican las recomendaciones anteriores para Se aplican las recomendaciones anteriores para entornos de confianzaentornos de confianza

Servidores independientes si no se necesitan Servidores independientes si no se necesitan cuentas de dominiocuentas de dominio

Bosque separado del internoBosque separado del interno Utilizar configuraciones avanzadas de IIS 6.0:Utilizar configuraciones avanzadas de IIS 6.0:

Aislamiento de aplicacionesAislamiento de aplicaciones Cuentas con el menor privilegioCuentas con el menor privilegio

Servidor de Aplicaciones IISServidor de Aplicaciones IISAislamiento de aplicacionesAislamiento de aplicaciones

Incrementar la seguridad en servidores Incrementar la seguridad en servidores IIS compartidos por varias aplicacionesIIS compartidos por varias aplicaciones

Los usuarios y aplicaciones de un sitio no Los usuarios y aplicaciones de un sitio no pueden leer el contenido de otropueden leer el contenido de otro

Asignar aplicaciones a diferentes “grupos Asignar aplicaciones a diferentes “grupos de aplicación” de aplicación”

Servidor de Aplicaciones IISServidor de Aplicaciones IISAislamiento de aplicacionesAislamiento de aplicaciones Asignar identidades Asignar identidades

únicas:únicas: A cada grupo de A cada grupo de

aplicaciónaplicación Al usuario anónimo de Al usuario anónimo de

cada sitiocada sitio Añadir la identidad de Añadir la identidad de

cada “grupo de cada “grupo de aplicación” al grupo aplicación” al grupo IIS_WPGIIS_WPG

Asignar permisos NTFS Asignar permisos NTFS para el contenido de para el contenido de cada aplicacióncada aplicación

AgendaAgenda




Servidor de Autenticación IASServidor de Autenticación IASRADIUSRADIUS

Utilizado para autenticar a los clientes Utilizado para autenticar a los clientes externosexternos Acceso remotoAcceso remoto Clientes wirelessClientes wireless

Expuestos a ataques externosExpuestos a ataques externos Deshabilitar los elementos Deshabilitar los elementos

innecesariosinnecesarios

Proporcionar guías para: Proporcionar guías para: Usuarios finalesUsuarios finales Administradores de SistemasAdministradores de Sistemas Administradores de SeguridadAdministradores de Seguridad

Estas guías son:Estas guías son: Guías probadas en entornos realesGuías probadas en entornos reales Diseñadas para preocupaciones reales de Diseñadas para preocupaciones reales de

seguridadseguridad Apropiadas para situaciones realesApropiadas para situaciones reales

Windows Server 2003 Security GuideWindows Server 2003 Security GuideObjetivos de diseñoObjetivos de diseño

Plantillas para tres escenarios:Plantillas para tres escenarios: ““Legacy templates”: predomina la Legacy templates”: predomina la

compatibilidad sobre la seguridad compatibilidad sobre la seguridad ““Enterprise templates”: apropiadas para la Enterprise templates”: apropiadas para la

mayoría de los entornosmayoría de los entornos ““High-security”: mayor restricción de High-security”: mayor restricción de

seguridad, sin compatibilidadseguridad, sin compatibilidad

Windows Server 2003 Security GuideWindows Server 2003 Security GuidePlantillas de seguridadPlantillas de seguridad

ResumenResumen

Asegurar Windows Server 2003Asegurar Windows Server 2003EstrategiaEstrategia

Diferenciar los servidores por su criticidad, ubicación y rol.

Implementar políticas de seguridad basadas en la guía de recomendaciones “Windows Server 2003 Security Guide”

Estrategia de Defensa en Profundidad.

Diseño de Active DirectoryDiseño de Active DirectoryEstrategiaEstrategia

Los Bosques establecen los Límites Reales de Seguridad.

Utilizar Unidades Organizativas para Delegar Administración y aplicar Directivas de Grupo

Diferenciar los Roles de Administración

Servidores en Entornos ConfiadosServidores en Entornos ConfiadosEstrategiaEstrategia

Establecer Directiva de Grupo de Dominio

Afinar con Directivas de Grupo para cada Rol de Servidores

Crear una Línea Base de Seguridad Común

Servidores en Entornos no ConfiadosServidores en Entornos no ConfiadosEstrategiaEstrategia

Utilizar Servidores Independientes si es posible

Utilizar Filtros IPSec para reducir la Superficie de Ataque

Aplicar Directivas Locales para cada Servidor

Preguntas yPreguntas y respuestasrespuestas

Para obtener más informaciónPara obtener más información

Sitio de seguridad de MicrosoftSitio de seguridad de Microsoft http://www.microsoft.com/securityhttp://www.microsoft.com/security http://http://www.microsoft.comwww.microsoft.com//spainspain/seguridad//seguridad/

Sitio de seguridad de TechNet Sitio de seguridad de TechNet (profesionales de IT)(profesionales de IT) http://www.microsoft.com/technet/security/http://www.microsoft.com/technet/security/ http://http://www.microsoft.comwww.microsoft.com//spainspain//technettechnet

/seguridad//seguridad/ Sitio de seguridad de MSDN Sitio de seguridad de MSDN

(desarrolladores)(desarrolladores) http://msdn.microsoft.com/securityhttp://msdn.microsoft.com/security

http://www.microsoft.com/security

http://www.microsoft.com/spain/seguridad/





http://www.microsoft.com/technet/security/

http://www.microsoft.com/spain/technet/seguridad/







http://msdn.microsoft.com/security

BarcelonaBarcelona

4 Mayo 20044 Mayo 2004

Microsoft Windows en el proceso de certificación. Seguridad en Microsoft Windows Server 2003...

Documents

Transcript of Microsoft Windows en el proceso de certificación. Seguridad en Microsoft Windows Server 2003...