Seguridad de la Plataforma Microsoft

Juan Carlos CantóTechnical Specialist

juancc@microsoft.com

El desafío de la seguridad

Proveer servicios… Accesos web, e-mail, acceso a archivos, mensajería

mientras se protegen los activos. Información financiera, ciclos de CPU, recursos de red,

propiedad intelectual, información de clientes

El acceso correcto al contenido correcto

a la persona correcta

Los negocios en Internet nos presentan el desafío de conseguir que las tecnologías de computación e información sean seguras, rápidas y fácil de usar e interactuar.

Internet

Seguridad en la plataforma

Internet Traffic ControlInternet Traffic ControlEnterprise Class FirewallEnterprise Class FirewallApplication level filteringApplication level filtering

Internet Connection FirewallInternet Connection FirewallFile encryptionFile encryptionKerberosKerberos

AutenticaciónAutenticaciónActive DirectoryActive DirectoryGroup PoliciesGroup Policies

Ubicación de los Servidores

ClientComputer

Satellite

ClientComputer

ISAServer

ClientComputer

ISAServerDublin,

Ireland

Internet

ISAServer

Las Colinas,Texas

ClientComputer

San Juan,Puerto Rico

Redmond,Washington

Phoenix,Arizona

Servicios

En Línea

Productos

Soporte gratis por incidentes relacionados con virusRelevamiento de Seguridad por Premier/MCS

Sitio de recursos de seguridad: www.microsoft.com/security

Servicio de notificación de seguridad Microsoft

Microsoft Security Tool Kit Herramientas y recursos para mantenimiento

de la seguridadContinuas mejoras en los productos actuales

Strategic Technology Protection Program (STPP)

Seguridad hoy …Herramientas:

• Security Toolkit CD: – Permite tener un sistema Windows NT y 2000 básicamente

seguro aún en redes desconectadas de internet– Incluye Service Packs y fixes al 15 de Octubre– Todos los scripts incluídos se pueden implementar con SMS

• Herramientas incluídas:1. HFNetChk

Línea de comando que permite controlar el estado de los fixes en todas las máquinas de la red remotamente

La herramienta se actualiza permanentemente y está disponible en www.microsoft.com

2. Herramienta para configurar IIS en forma segura3. Critical Update Notifier (CUN)

Arquitectura de Seguridad

• Infraestructura de clave pública (PKI)

• CryptoAPI

• Servicio de Autoridad Certificante

• Sistema de archivos encriptado

• Smart Card

InternetInternet

Bob Alice

Bob y Alice usan claves diferentes

Bob verifica la firma de Alice usando la clave pública de Alice

Alice firma el documento con su clave privada

PrivadaPrivada

PúblicaPública

Verificación Firma

“Este mail confirma nuestra compra de 10000 unidades”

Mensaje firmado

“Este mail confirma nuestra compra de 10000 unidades”

“dkso(Sc#xZ02f+bQaur}”

“Este mail confirma nuestra compra de 10000 unidades”

Firmas Digitales

Base de Datos

Arquitectura del servicio de CA

Módulo de políticas

Módulo de finalización

Certificado entregado

Requerimiento de certificado

Motor principal

Admin Tools

Certification Authority Snap-in

Web EnrollmentEnroll-on-Behalf

Entorno seguro en empresasadministrable e interoperable

KerberosKerberosX.509 / PKIX.509 / PKI

Smart CardSmart CardBiometricBiometricNTLMv2NTLMv2

InternetInternet

Extranet

SQLServerSQL

Server

Windows

IISServer

IISServer

ExchangeServer

ExchangeServer

Windows 2000 ServerWindows 2000 Server

ApplicationsApplications

ComputersComputers

DevicesDevices

PeoplePeopleActive Active

DirectoryDirectory

FilesFiles

OracleOracle

Unix

NSCPHTTPNSCPHTTP

SAPR3

SAPR3

Intranet

Mainframe / Mini

Seguridad en redes• Single Sign-on

• Kerberos v5 integration

• Active Directory security

• Delegation of authentication

• Public key infrastructure

• Encrypting file system

• Network security

• Security policy

• Security Configuration Manager

Standards de Seguridad

• IETF Securitywww.ietf.org

• RSA PKCSwww.rsa.com

• ITU X.509www.itu.int

• NIST FIPScsrc.nist.gov

• PC/SCwww.smartcardsys.com

Más información• Primary resource: http://www.microsoft.com/security• Microsoft Internet Data Center Guide: (TBD)• ”Best Practices for Enterprise Security” whitepaper series:

http://www.microsoft.com/technet/security/bpentsec.asp• ”Microsoft Security Response Center Security Bulletin Severity Rating System”

white paper: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/topics/rating.asp

• “It’s Time to End Information Anarchy” white paper: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/columns/security/noarch.asp

• ”Secrets & Lies – Digital Security in a Networked World” by Bruce Schneier• ”Hacking Exposed – Network Security Secrets & Solutions, Third Edition” by Joel

Scambray, Stuart McClure, George Kurtz• ”CSI/FBI Computer Crimes and Security Survey 2001”, available from The

Computer Security Institute: http://www.gocsi.com/• The SANS Institute (System Administration, Networking, and Security) Institute:

http://www.sans.org• The 10 Immutable Laws of Security Administration:

http://www.microsoft.com/TechNet/security/10salaws.asp• The 10 Immutable Laws of Security:

http://www.microsoft.com/TechNet/security/10imlaws.asp• ISA Server information: http://www.microsoft.com/isa