Álvaro morón product manager windows server [email protected] josé parada gimeno microsoft...
TRANSCRIPT
Álvaro MorónProduct ManagerWindows Server
[email protected]é Parada Gimeno
Microsoft [email protected]
Chema AlonsoMVP Windows Server Security
Presentación técnica de Windows Server 2003 Service Pack 1
Agenda:
• Introducción• Metas de Windows Server 2003 SP1• Mejoras en la seguridad del Sistema• Mejoras en la seguridad de Red• Opciones para el despliegue• Futuro de Windows Server
Agenda
• Introduction• Goals of Windows Server 2003 SP1• System Security Enhancements• Network Security Enhancements• Service Pack 1 Deployment Options• Windows Server Roadmap
Windows Server Roadmap
Las entregas clave del futuro de Windows Server serán las siguientes:
2005 (1ª mitad)
2006
2005 (2ª mitad)
2007
De 2008 en adelante
Windows Server 2003 SP1 Windows Server 2003 for 64-Bit Extended Systems release Feature packs still to come
Windows Server 2003 "R2" Update Windows Server "Longhorn" Beta 1
Windows Server "Longhorn" Beta 2 Windows Server 2003 SP2
Windows Server "Longhorn"
Windows Server "Longhorn" Service Pack and Update
Agenda
• Introducción• Metas de Windows Server 2003 SP1• Mejoras en la seguridad del Sistema• Mejoras en la seguridad de Red• Opciones para el despliegue• Futuro de Windows Server
Actualizaciones
• Security Patch
• Critical Update
• Update
• Hotfix
• Update Roll-Up
• Service Pack
Niveles de Severidad
TechNet Security Bulletin Search:http://www.microsoft.com/technet/security/current.asp
Rating Definition
CriticalExploitation could allow the propagation of an Internet worm such as Code Red or Nimda without user action
ImportantExploitation could result in compromise of the confidentiality, integrity, or availability of users’ data or of the integrity or availability of processing resources
Moderate
Exploitation serious but mitigated to a significant degree by factors such as default configuration, auditing, need for user action, or difficulty of exploitation
Low Exploitation is extremely difficult, or impact is minimal
Recomendaciones de implantación
Severity Rating
Recommended Patching Time FrameMaximum Recommended
Time Frame
Critical Within 24 hours Within two weeks
Important Within one month Within two months
Moderate
Depending on expected availability, wait for next service pack or patch rollup that includes the patch or deploy the patch within four months
Deploy the software update within six months
Low
Depending on expected availability, wait for next service pack or patch rollup that includes the patch, or deploy the patch within one year
Deploy the software update within one year, or choose not to deploy at all
Agenda
• Introducción• Metas de Windows Server 2003 SP1• Mejoras en la seguridad del Sistema• Mejoras en la seguridad de Red• Opciones para el despliegue• Windows Server Roadmap
Metas de Windows Server 2003 SP1 Motivos para SP1
• Actualizaciones del producto• Mejoras en las Tecnologías de Seguridad• Prevenir contra:
• Acceso innecesario o no solicitado a las aplicaciones y el sistema operativo.
• Viruses• Gusanos
http://www.microsoft.com/downloads/details.aspx?familyid=C3C26254-8CE3-46E2-B1B6-3659B92B2CDE&displaylang=en
Coincidencias con XP SP2
• Incorpora muchas de las funcionalidades de XP SP2 y además:– Security Configuration Wizard– Post-Setup Security Updates
• Iguales a las de XP SP2 pero con diferente comportamiento:– DEP– Windows Firewall– RPC
Agenda
• Introducción• Metas de Windows Server 2003 SP1• Mejoras en la seguridad del Sistema• Mejoras en la seguridad de Red• Opciones para el despliegue• Windows Server Roadmap
Mejoras en la seguridad del SistemaPost Setup Security Updates
• Protección del Servidor durante el periodo en el que se instala el Servidor y la instalación de las últimas actualizaciones.
• Windows Firewall esta activado por defecto si explícitamente no se configura de otra manera durante la instalación.
Mejoras en la Seguridad del SistemaPost Setup Security Updates
Mejoras en la Seguridad del Sistema
Post Setup Security Updates• Se invoca después de:
• Actualización de Windows NT4 a Windows Server 2003 SP1
• Instalación combinada de Windows Server 2003 y SP1
• NO invocada después de:• Actualización desde Windows 2000 a Windows
Server 2003 SP1• Actualización desde Windows Server 2003 a SP1
Mejoras en la Seguridad del Sistema
Data Execution Prevention• Forzada por el hardware y el software• Hardware DEP
• Requiere que el procesador lo soporte o implemente• El procesador marca áreas de la memoria como No
Ejecutable excepto si específicamente contiene código ejecutable.
• Puede causar problemas de compatibilidad.• Software DEP
• Funcionalidad en cualquier procesador que soporte Windows Server 2003
• Protege los binarios del sistema de ataques relacionados con el manejo de las excepciones del sistema.
• Es raro que cause problemas de compatibilidad.
Mejoras en la Seguridad del Sistema Data Execution Prevention
NE NENE
NE = No-Execute
Mejoras en la Seguridad del Sistema Data Execution Prevention
• Se configura en el Boot.ini • /noexecute=PolicyLevel• OptIn – Se habilita el Software DEP. El Hardware DEP solo se activa
para aplicaciones que se configuran específicamente.• OptOut – Se activan tanto el Software DEP como el Hardware DEP.
Solo se deshabilitan para aplicaciones especificadlas en al lista de excepciones.
• AlwaysOn – El Software DEP y el Hardware DEP siempre están habilitadas. Cualquier excepción es ignorada.
• AlwaysOff – El Software DEP y el Hardware DEP están deshabilitadas.
Mejoras en la Seguridad del Sistema
Data Execution Prevention• Interface Grafico
• Etiqueta Data Execution Prevention en el Panel de control | System | Advanced | Performance |
• Se configura la lista de aplicaciones excluidas.• Se deshabilita Hardware DEP
Mejoras en la Seguridad del Sistema
Internet Explorer• Mejoras en Internet Explorer• Funcionalidades en el control de la configuración• Prevención en la elevación de Zona.• Gestion de los Add-on• Barra de Información• Gestión de los Pop-up• Restricciones de Windows• Seguridad en las Descargas
• Windows XP Service Pack 2http://www.microsoft.com/downloads/details.aspx?FamilyId=9300BECF-2DEE-4772-ADD9-AD0EAF89C4A7&displaylang=en
Mejoras en la Seguridad del Sistema
Security Configuration Wizard• No esta instalado por defecto. • Para instalarlo : Panel de Control.
• Add\Remove Programs• Windows Components
Mejoras en la Seguridad del Sistema
Security Configuration Wizard• Identifica puertos abiertos
• El asistente se debe de ejecutar con las aplicaciones requeridas y los servicios arrancados.
• Selecciona el role del servidor de la base de datos de configuración.
• Configura los servicios requeridos.• Configura los puertos para el Firewall de Windows• Configura la seguridad para LDAP y SMB• Configura una política de auditoria• Configura los parámetros específicos de los roles que
tiene el servidor.
Mejoras en la Seguridad del Sistema
Security Configuration Wizard• La configuración se salva en un fichero XML.
• Se aplica por el asistente• Se puede aplicar una política de seguridad
existente a otro equipo.
• Se puede aplicar desde la línea de comando.• scwcmd.exe configure /p:webserverpolicy.xml • Se puede usar en scripts• Sripts de instalación desatendida
Security Configuration WizardSecurity Configuration Wizard
demostracióndemostración
Mejoras en la Seguridad del Sistema
Windows Firewall• Mejoras en el Internet Connection Firewall (ICF)• No habilitado por defecto
• Excepto durante PSSU• Se puede configurar durante la instalación.
http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/depfwset/wfsp2sum.mspx
Mejoras en la Seguridad del Sistema
Windows Firewall
Port 80
App.exe
Mejoras en la Seguridad del Sistema
Windows Firewall• Seguridad durante el proceso de Arranque.• Configuración Global para todos los
adaptadores de Red o específica a cada uno• Se puede configurar para no permitir ninguna
excepción• Múltiples perfiles para entornos móviles.
System Security EnhancementsWindows Firewall
Mejoras en la Seguridad del Sistema
Windows Firewall
Mejoras en la Seguridad del Sistema
Windows Firewall
Windows FirewallWindows Firewall
Cambiar el estado del servicio Windows Cambiar el estado del servicio Windows Firewall/Internet Connection Sharing (ICS) Firewall/Internet Connection Sharing (ICS) para permitir la configuración del Firewall.para permitir la configuración del Firewall.
Configurar el Windows Firewall usando la Configurar el Windows Firewall usando la interfase grafica de usuario la línea de interfase grafica de usuario la línea de comandos y las políticas de grupo.comandos y las políticas de grupo.
demostracióndemostración
Agenda
• Introducción• Metas de Windows Server 2003 SP1• Mejoras en la seguridad del Sistema• Mejoras en la seguridad de Red• Opciones para el despliegue• Windows Server Roadmap
Mejoras en la Seguridad de RedCuarentena VPN
• Cuarentena el la Red Privada Virtual (VPN)• Paso 1 – Autenticación del Cliente• Paso 2 – Acceso a un área restringida de la red• Paso 3 – Chequeo de Seguridad• Paso 4 – Acceso a la red corporativa.
Mejoras en la Seguridad de Red Seguridad RPC
• RPC es un protocolo utilizado por muchos servicios y aplicaciones para las comunicaciones de red
• Mejoras en el SP1• Requiere conexiones autenticadas• NO es compatible con “named pipes”
Mejoras en la Seguridad de Red Seguridad RPC
RPC
Sin AutenticarRPC
Autenticado
Mejoras en la Seguridad de Red Seguridad RPC
• La configuración de Seguridad RPC se configura en la siguiente clave del registro.
\\HKLM\SOFTWARE\Policies\Microsoft\Windows NT\RPC\
• RestrictRemoteClients• EnableAuthEpResolution
http://msdn.microsoft.com/security/productinfo/XPSP2/networkprotection/rpc.aspx
Seguridad de RPCSeguridad de RPC Configura la Seguridad RPC Configura la Seguridad RPC Ver los efectos de la seguridad RPCVer los efectos de la seguridad RPC
demostracióndemostración
Mejoras en la Seguridad de Red Seguridad DCOM
Mejoras en la Seguridad de Red Seguridad DCOM
• Permisos DCOM• Lanzar• Activar• Acceso
Permisos de la Seguridad de RedSeguridad DCOM
• Seguridad para todo el Sistema.• Lo configura el administrador• Afecta a todos los servidores DCOM• Se puede configurar mediante:
• Servicios de Componentes• Políticas de Grupo
Seguridad de DCOM
Investigar los permisos DCOM Demostrar los permisos DCOM de todo el
sistema
demostracióndemostración
Agenda
• Introducción• Metas de Windows Server 2003 SP1• Mejoras en la seguridad del Sistema• Mejoras en la seguridad de Red• Opciones para el despliegue• Windows Server Roadmap
Opciones para el despliegueDespliegue de SP1
• Instalación Manual• “Slipstreaming”• Software de clonación• Instalación mediante Scripts
““Slipstreaming” SP1 para su Slipstreaming” SP1 para su desplieguedespliegue
Crear un recurso compartido para el Crear un recurso compartido para el desplieguedespliegue
Integración del SP1 con el sistema operativo Integración del SP1 con el sistema operativo fuente.fuente.
demonstracióndemonstración
Resumen de la Sesión• El SP1 de Windows Server 2003 incorpora varias mejoras en la seguridad• Estas mejoras nos proporcionara mayor seguridad y nos prevendrán contra ataques.• Las medidas de seguridad nos pueden crear problemas de compatibilidad por lo que tendrán que
ser probadas antes de implementarse.
Próximas Acciones
Para mas información…
www.microsoft.com/technet/tnt1-151
• Visita la web de TechNet en:– www.microsoft.com/technet– www.microsoft.com/spain/technet
• For additional information on books, courses and other community resources that support this session visit
www.microsoft.com/technet/subscriptions
TechNet SubscriptionsHave We Heard the News?Software without time limits! Full-version evaluation software provides more flexibility to TechNet Plus subscribers.
Complimentary technical support. Two free technical support incidents included with each TechNet Plus subscription save we time resolving mission-critical issues.
Have the most current resources on hand to evaluate, implement, and support Microsoft solutions—delivered monthly on CD or DVD, withno dependency on Internet connectivity or firewalls.
Donde puedo conseguir ayuda?• Attend a free chat or Web cast
www.microsoft.com/technet/community/chatswww.microsoft.com/technet/community/webcasts
• List of newsgroupswww.microsoft.com/technet/community/newsgroups
• Microsoft community siteswww.microsoft.com/technet/community
• Community eventswww.microsoft.com/technet/community/events
• Community columnswww.microsoft.com/technet/community/columns