fortificación de equipos
DESCRIPTION
Fortificación de equipos. Elementos de la seguridad. Análisis de riesgos. Amenaza. Recurso. Vulnerabilidad. ¡Alarma!. Métodos de aseguramiento. Técnicas de mitigación. ggrr!. Agenda. Principios básicos Defensa en profundidad Mínimo punto de exposición Menor privilegio posible - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/1.jpg)
![Page 2: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/2.jpg)
![Page 3: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/3.jpg)
Fortificación de equipos
![Page 4: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/4.jpg)
Elementos de la seguridad
![Page 5: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/5.jpg)
Amenaza
Recurso
Vulnerabilidad
Análisis de riesgos
![Page 6: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/6.jpg)
Técnicas demitigación
¡Alarma!ggrr!
Métodos de aseguramiento
![Page 7: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/7.jpg)
Agenda
• Principios básicos– Defensa en profundidad– Mínimo punto de exposición– Menor privilegio posible
• Proceso de fortificación– Active Directory– Controlador de dominio– Línea base– Servidores y clientes
• Herramientas– SCE– Security Configuration Wizard
![Page 8: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/8.jpg)
Principios a aplicar
• Defensa en profundidad
• Mínimo punto de exposición
• Menor privilegio
![Page 9: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/9.jpg)
• Cada capa establece sus defensas:– Datos y Recursos: ACLs,
Cifrado– Defensas de Aplicación:
Validación de las entradas, Antivirus
– Defensas de Host: Asegurar el SO, aplicar revisiones y SP, Auditoria
– Defensas de red: Segmentación, VLAN ACLs, IPSec
– Defensas de perímetro: Filrado de paquetes, IDS, Cuarentena en VPN
Datos y Recursos
Defensas de Aplicación
Defensas de Host
Defensas de Red
Defensas de Perímetro
Estrategia de Defensa en Profundidad
![Page 10: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/10.jpg)
• Cada capa asume que la capa anterior ha fallado:– Medidas redundantes
• Seguridad Física• Todo bajo la dirección de la
política de seguridad de la empresa
• Basada en capas:– Aumenta la posibilidad de que
se detecten los intrusos – Disminuye la oportunidad de
que los intrusos logren su propósitoDirectivas,
procedimientos, formación y
concienciación
Directivas, procedimientos,
formación y concienciación
Seguridad físicaSeguridad física
Datos y Recursos
Defensas de Aplicación
Defensas de Host
Defensas de Red
Defensas de Perímetro
Asu
me f
allo
de la c
apa a
nte
rior
Estrategia de Defensa en Profundidad
![Page 11: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/11.jpg)
Mínimo punto de exposición
• Reducir la superficie de ataque – Instalar sólo los servicios necesarios– Exponer sólo los puertos que ofrezcan servicios
• Simplificar la infraestructura– Separación de roles: acumular servicios en un
mismo servidor aumenta su superficie de ataque
![Page 12: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/12.jpg)
Menor privilegio posible
• Asignar sólo los “mínimos” permisos necesarios• Separación de roles: desarrollo, administración,
operación, ... – No acumular privilegios
• La mayoría de los ataques son internos• Protege de errores “humanos”• Utilizar “Ejecutar como ...”
![Page 13: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/13.jpg)
Menor privilegio posibleCuentas de usuarios
• Los usuarios DEBEN tener sólo los permisos necesarios para realizar sus tareas habituales– No suele ser necesario “Control total del equipo”
• Además facilita el soporte• Es importante, revisar las aplicaciones para
que no requieran permisos administrativos
![Page 14: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/14.jpg)
Menor privilegio posibleCuentas de administración
• Incluso los administradores no necesitan sus privilegios durante todas sus operaciones
• Utilización de dos cuentas:– Usuario Normal para tareas cotidianas (correo electrónico,
procesamiento de textos, etc.) – Una cuenta distinta con permisos de administración (auditar el uso de
esta cuenta)• Formar a los administradores para que usen contraseñas
complejas.– Más de 15 caracteres.– Las frases son fáciles de recordar (en Windows 2000 y 2003 es
posible utilizar espacios)– Smart Cards
• Uso de grupos locales en servidores individuales, para limitar quién puede administrarlos.
![Page 15: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/15.jpg)
Menor privilegio posibleCuentas de servicio
• Limitar el posible daño en caso de que la cuenta estuviera expuesta a ataques.– Compruebe si se puede usar una cuenta local en
lugar de un dominio.• Sin embargo, no funcionará para cuentas que deban comunicarse
con otros servidores.• Por ejemplo, los agentes de SQL suelen necesitar conectividad
con otros servidores.
– Limite los permisos para la cuenta.• Uso de contraseñas complejas• Auditar el uso de estas cuentas
![Page 16: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/16.jpg)
Agenda
• Principios básicos– Defensa en profundidad– Mínimo punto de exposición– Menor privilegio posible
• Proceso de fortificación– Active Directory– Controlador de dominio– Línea base– Servidores y clientes
• Herramientas– SCE– Security Configuration Wizard
![Page 17: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/17.jpg)
Proceso de fortificaciónReglas generales
• Desplegar sistemas protegidos, no ejecutar procesos de fortificación una vez que los sistemas se han desplegado– Es muy difícil, si no se conocen todos los componentes
• Mantener el proceso lo más simple posible– Facilitar el despliegue (imágenes, scripts, ...)– Facilitar el mantenimiento (gestión de actualizaciones,
herramientas)– Eliminar los elementos innecesarios
• Utilizar gestión de cambios (incluyendo imágenes)• Monitorizar el entorno• Formar a los usuarios
– Desarrolladores– Usuarios
![Page 18: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/18.jpg)
Metodología de fortificaciónRed interna
• Asegurar el entorno de Active Directory– Crear un diseño teniendo en cuenta las
implicaciones de seguridad– Revisar el diseño actual
• Crear una Línea Base de Seguridad– Para servidores y puestos clientes– “Mínimo Común” de la seguridad
• Afinar esa Base para cada uno de los roles específicos
![Page 19: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/19.jpg)
Refuerzo de SeguridadProceso
Servidores deinfraestructuras
Servidores de archivos
Servidores IIS
Autoridades de Certificación
Hosts bastiones
Active Directory
Línea Base
Servidores RADIUS
Pro
ce
dim
ien
tos
de
re
fue
rzo
de
la
se
gu
rid
ad
Configuración de seguridad incremental
basada en roles
![Page 20: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/20.jpg)
Active DirectoryComponentes• Bosque
– Un bosque funciona como límite de seguridad en Active Directory
• Dominio– Facilita la gestión
• Unidad organizativa– Contenedor de objetos
• Directivas de grupo– Herramienta clave para
implementar y administrar la seguridad de una red
![Page 21: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/21.jpg)
Active DirectoryConsideraciones de diseño• Crear un Plan de Seguridad de Active Directory• Establecer claramente los límites de seguridad y
administrativos– Seguridad basada en la infraestructura de dominios– Separación de administradores
• Gestionar cuidadosamente grupos con elevados privilegios– Administradores de Empresa (Enterprise Admins)– Administradores de Esquema (Schema Admins)
• Delegar tareas administrativas– Crear una Estructura de Unidades Organizativas
• Para delegación de administración• Para la aplicación de directivas de grupo
• Si ya está desplegado AD, revisar el diseño actual para conocer mejor las posibles vulnerabilidades
![Page 22: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/22.jpg)
Diseño de Active DirectoryPlan de Seguridad
• Analizar el entorno– Centro de datos de intranet– Sucursales– Centro de datos de extranet
• Realizar un análisis de las amenazas– Identificar las amenazas para Active Directory
• Identificar los tipos de amenazas• Identificar el origen de las amenazas
– Determinar medidas de seguridad para las amenazas – Establecer planes de contingencia
![Page 23: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/23.jpg)
Administración Active DirectoryRecomendaciones generales
• Delegar los permisos mínimos necesarios para cada rol
• Utilizar doble cuenta para usuarios administradores– Cuenta de administración (no genérica)– Cuenta de usuario: acceso al correo, documentar,
navegar• Utilizar autenticación fuerte para cuentas de
administración– Autenticación fuerte (dos factores):
• Smart Card y PIN
![Page 24: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/24.jpg)
Diseño de Active DirectoryBosques
• Separar en otro bosque los servidores de Extranet• Crear otro bosque para aislar administradores de
servicios• Bosques y dominios
– Bosque = Límite real de seguridad
– Dominio = Límite de gestión para administradores con buen comportamiento
![Page 25: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/25.jpg)
Diseño de Active DirectoryJerarquía de Unidades Organizativas
• Una jerarquía de unidades organizativas basada en funciones de servidor:– Simplifica la administración
de la seguridad– Aplica la configuración de
directivas de seguridad a los servidores y a otros objetos en cada unidad organizativa
Directiva de dominio Dominio
Diseño de dominios
Directiva de línea de base de servidor
integrante
Servidores integrantes
Controladores de dominio
Directiva de controladores de dominio
Directiva de servidores
de impresión
Directiva de servidores de archivos
Directiva de servidores IIS
Servidores de impresión
Servidores de archivos
Servidores Web
Administrador de operaciones
Administrador de operaciones
Administrador de servicios
Web
![Page 26: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/26.jpg)
• Revisar y modificar la Directiva por defecto– Es posible que no se adecue a las políticas de la
empresa– Para modificarla existen dos estrategias:
• Modificar la Directiva por defecto• Crear una Directiva Incremental
• Establecer elementos comunes a todo el dominio
• Directivas de cuentas• Bloqueo y Desbloqueo de cuentas
Directiva de Grupo de DominioFortalecimiento de configuración
![Page 27: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/27.jpg)
• Políticas de cuentas para los usuarios del dominio
• Caducidad y Complejidad de Contraseñas• Bloqueo y Desbloqueo de cuentas
DominioPolíticas deContraseñas Políticas
Kerberos
Políticas debloqueo decuentas
Las directivas de cuentas se aplican en el nivel de dominio y afectan a todas las cuentas de dominio
Las directivas de cuentas se aplican en el nivel de dominio y afectan a todas las cuentas de dominio
Directiva de Grupo de DominioDirectiva de cuentas
![Page 28: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/28.jpg)
Controladores de Dominio• Son los servidores más importantes de la infraestructura
– Poseen la información de todos los objetos del Active Directory• La seguridad física es importante
– Ubicados en salas con control de acceso• Las copias de seguridad poseen también información
crítica– Se deben almacenar en entornos con control de acceso
• Proceso de Instalación:– En ubicaciones controladas– Bajo la supervisión de administradores– Utilizando procedimientos automatizados
![Page 29: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/29.jpg)
Controladores de dominioPlantilla de seguridad• La mayoría de las directivas coincidirán con la Línea Base de
Seguridad• Mayores restricciones en los derechos de usuarios
– Inicio de sesión interactiva: Sólo administradores– Inicio de sesión por TS: Sólo administradores– Restauración: Sólo administradores– Cambiar la hora del sistema: Sólo administradores
• Configuración servicios específicos:– DFS– DNS– NTFRS– KDC
![Page 30: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/30.jpg)
Controladores de DominioMedidas de Seguridad Adicionales
• Reubicar los directorios de la base de datos y logs de Active Directory
• Incrementar el tamaño de los registros de eventos
• Asegurar el servicio DNS– Utilizar actualizaciones dinámicas seguras– Limitar las transferencias de zonas
• Bloquear puertos con IPSec
![Page 31: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/31.jpg)
Controladores de DominioMedidas de Seguridad Adicionales
• SYSKEY– Protege la SAM de ataques offline– Como contrapartida incrementa los costes
operacionales
![Page 32: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/32.jpg)
Diseño de Active DirectoryDirectivas de Grupo
• Para asegurar servidores:– Línea base común– Medidas adicionales para
cada rol
Dominio
Directiva de línea de base de servidor
integrante
Directiva incremental para
cada rol
Rol 1
Rol 2
Rol 3
Servidores
![Page 33: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/33.jpg)
• Para asegurar puestos:– Separar usuarios y equipos– Aplicar las políticas
adecuadas a cada OU
Departamento
UsuariosWindows XP OU
Desktop OU
Laptop OU
Diseño de Active DirectoryDirectivas de Grupo
Dominio
Departamento N
![Page 34: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/34.jpg)
Refuerzo de SeguridadProceso
Servidores deinfraestructuras
Servidores de archivos
Servidores IIS
Autoridades de Certificación
Hosts bastiones
Active Directory
Línea Base
Servidores RADIUS
Pro
ce
dim
ien
tos
de
re
fue
rzo
de
la
se
gu
rid
ad
Configuración de seguridad incremental
basada en roles
![Page 35: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/35.jpg)
Establecer línea base8 Recomendaciones básicas
1. Seleccionar aplicaciones de línea base– En toda la empresa:
• Aplicaciones en todos los escritorios• Aplicaciones en todos los servidores
– Revisar la seguridad de estas aplicaciones– Gestionar las actualizaciones de seguridad
y los Service Pack:• Tanto de las aplicaciones como del sistema
operativo
![Page 36: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/36.jpg)
Establecer línea base8 Recomendaciones básicas
2. En la línea base del sistema operativo, seleccionar los componentes a incluir
– Los “mínimos” componentes necesarios
– No instalar aquellos componentes que no se usen en todos los entornos
– Mínimo punto de exposición
![Page 37: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/37.jpg)
Establecer línea base8 Recomendaciones básicas
3. Seleccionar las funciones a activar– Tecnologías disponibles (por ejemplo,
Windows Update)– Infraestructuras comunes: PKI
![Page 38: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/38.jpg)
Establecer línea base8 Recomendaciones básicas
4. Crear plantillas de seguridad– Usando las guías de seguridad como
base• Windows Server 2003 Security Guide• Windows XP Security Guide
– Incluir valores personalizados– Extender SCE (sceregvl.inf)– Comprobar los problemas conocidos
![Page 39: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/39.jpg)
• Guías para: – Windows Server 2003– Windows XP Service Pack 2– Wireless LAN Security Guide
• Estas guías son:– Guías probadas en entornos reales– Diseñadas para preocupaciones reales de
seguridad– Apropiadas para situaciones reales
Microsoft Solutions for SecurityGuías de referencia
![Page 40: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/40.jpg)
• Plantillas para tres escenarios:– “Legacy templates”: predomina la
compatibilidad sobre la seguridad – “Enterprise templates”: apropiadas para la
mayoría de los entornos– “High-security”: mayor restricción de seguridad,
sin compatibilidad
Windows Server 2003 Security GuidePlantillas de seguridad
![Page 41: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/41.jpg)
Windows XP Security GuidePlantillas de seguridad
• Plantillas para tres escenarios:– “Enterprise client”: clientes de Active Directory
con configuraciones de seguridad apropiadas para la mayoría de empresas
– “High-security client”: funcionalidad reducida, mayor restricción de seguridad
– “Stand alone client”: no pertencen a Active Directory, puestos aislados o dominios NT 4.0
![Page 42: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/42.jpg)
Línea Base de SeguridadRecomendaciones
• No aplicar directamente las plantillas:– Revisar detalladamente todas las opciones– Probar los cambios en entorno de laboratorio
antes de implementarlos en producción
![Page 43: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/43.jpg)
Línea Base de SeguridadPosibles cambios• Para evitar operaciones remotas de los
administradores de servicio– Utilizar la política “Denegar inicio de sesión desde red”
• Cuidado con las opciones del registro de sucesos cuando se llena– Denegación de servicio si se llena el registro de seguridad
• Compatibilidad con sistemas anteriores, hace rebajar el nivel de seguridad:– “Firmar digitalmente las comunicaciones (siempre)” (SMB)– “No permitir enumeraciones anónimas de cuentas”– “No almacenar el valor de hash de Lan Manager”– “Nivel de Autenticación de Lan Manager”
![Page 44: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/44.jpg)
Línea Base de SeguridadOtras opciones
• Asegurar la pila TCP/IP– Prevenir ataques DoS
• Deshabilitar la generación automática de nombres 8.3 en NTFS
• Deshabilitar la opción de ejecución automática de CD-ROMs (Autorun)
• Orden de búsqueda de DLLs
![Page 45: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/45.jpg)
Establecer línea base8 Recomendaciones básicas
5. Añadir bloqueos adicionales– Información extraída de los grupos de
productos, las alertas de seguridad, los expertos de seguridad, las mejores prácticas, etc.
– Políticas de grupo más allá de las plantillas de seguridad (Internet Explorer, Outlook, etc.)
– Servicios (varían según las funciones)– Listas de control de acceso (ACL)– Funciones de servidor (IIS, DC, etc.)– Políticas IPSec
![Page 46: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/46.jpg)
Establecer línea base8 Recomendaciones básicas
6. Automatizar todo el proceso– Incluso aunque se usen imágenes para el despliegue– Las secuencias de comandos son controlables, las
respuestas de personas menos. Ejemplos:• Archivos de respuestas para el Sistema Operativo• Instalaciones silenciosas y no interactivas
– Kit de administración de Internet Explorer– Asistente para la instalación personalizada de Office
• Ficheros INF de plantillas de seguridad• Scripts en general: Windows Scripting Host (WSH) y
Windows Management Instrumentation (WMI)– Proceso autodocumentado
![Page 47: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/47.jpg)
Establecer línea base8 Recomendaciones básicas
7. Verificar el funcionamiento como usuario Normal (estaciones de trabajo)
– La inmensa mayoría de los errores en aplicaciones suceden cuando se inicia sesión como usuario Normal.
– Se deben resolver las incompatibilidades antes de la distribución.
![Page 48: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/48.jpg)
Establecer línea base8 Recomendaciones básicas
8. Controlar el acceso de las cuentas de Administrador y Servicio
– Siguiendo del principio del menor privilegio
![Page 49: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/49.jpg)
Refuerzo de SeguridadProceso
Servidores deinfraestructuras
Servidores de archivos
Servidores IIS
Autoridades de Certificación
Hosts bastiones
Active Directory
Línea Base
Servidores RADIUS
Pro
ce
dim
ien
tos
de
re
fue
rzo
de
la
se
gu
rid
ad
Configuración de seguridad incremental
basada en roles
![Page 50: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/50.jpg)
ServidoresAseguramiento de roles específicos
• Se partirá de la configuración de línea base• Se utilizará una plantilla de seguridad
incremental específica para el rol– Modificando los servicios a usar– Revisando los permisos
• Se configurarán manualmente las opciones adicionales– Separación de datos y aplicaciones– Dependientes de las aplicaciones del rol– Incluyendo seguridad de las aplicaciones
![Page 51: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/51.jpg)
Servidor de Aplicaciones IISConfiguraciones adicionales• Instalar sólo los componentes necesarios• Habilitar sólo las extensiones necesarias• Ubicar el contenido en volúmenes dedicados
– Evitar usar el volumen de sistema• Establecer permisos NTFS• Establecer permisos IIS sobre los sitios web
– Evitar permisos de ejecución y escritura en el mismo sitio web• Evitar cuentas de servicio de dominio• Asegurar cuentas conocidas:
– Invitado– Administrador
• Filtrado de tráfico mediante IPSec para permitir sólo puertos específicos (80,443)
![Page 52: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/52.jpg)
• La ejecución de código malintencionado supone un riesgo grave para la seguridad
• Las directivas de restricción de software impiden que los usuarios ejecuten código malintencionado: – Se aplican a archivos ejecutables, contenido activo y secuencias de
comandos– Se pueden distribuir con Directiva de grupo
Puestos clienteDirectiva de restricción de aplicaciones
![Page 53: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/53.jpg)
• Seleccionar una configuración predeterminada:– Restringida o Permitida
• Excepciones a la configuración predeterminada: – Reglas hash– Reglas de certificado– Reglas de ruta de acceso– Reglas de zona de Internet
• Si se aplican varias reglas:– Se aplica la prioridad de reglas
Puestos clienteDirectiva de restricción de aplicaciones
![Page 54: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/54.jpg)
Agenda
• Principios básicos– Defensa en profundidad– Mínimo punto de exposición– Menor privilegio posible
• Proceso de fortificación– Active Directory– Controlador de dominio– Línea base– Servidores y clientes
• Herramientas– SCE– Security Configuration Wizard
![Page 55: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/55.jpg)
Herramientas de gestión Plantillas de seguridad
• Aplicación local mediante herramientas– “Plantillas de Seguridad”
• Complemento MMC• Permite editar las plantillas de seguridad
– “Configuración y Análisis de Seguridad”• Complemento MMC• Permite la comparación y la aplicación de varias plantillas de
seguridad
– “SecEdit” • Línea de comandos• Permite aplicar plantillas mediante scripts
![Page 56: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/56.jpg)
Plantillas de seguridadEdición de las plantillas
• Permite– Crear nuevas plantillas– Editar las plantillas existentes
• Ubicación de las plantillas– Ruta por defecto: %systemroot%\security\
templates– Se pueden añadir más rutas
![Page 57: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/57.jpg)
Plantillas de seguridad
![Page 58: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/58.jpg)
Configuración y AnálisisAplicar plantillas
• Permite– Analizar el estado actual de un servidor con
respecto a una plantilla– Aplicar una plantilla
• Pasos:– Se crea una base de datos– Se importa la plantilla– Se genera un registro de errores (log)– Se efectúa la operación deseada
![Page 59: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/59.jpg)
Configuración y Análisis
![Page 60: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/60.jpg)
Configuración y Análisis
![Page 61: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/61.jpg)
seceditEdición de las plantillas
• Se utiliza mediante la línea de comandos
• Se puede incluir en scripts
• Permite– Analizar– Aplicar– Importar– Exportar
![Page 62: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/62.jpg)
Security Configuration WizardWindows Server 2003 SP1
• Facilita la aplicación de políticas de seguridad– Va más allá de las plantillas .inf– Políticas IPSec– Entradas en el registro
• Se basa en ficheros XML
• Se puede extender– Incluir aplicaciones propias
![Page 63: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/63.jpg)
Security Configuration WizardWindows Server 2003 SP1
• Permite– Crear nuevas políticas de seguridad– Editar las políticas de seguridad existentes– Aplicar políticas de seguridad– Efectuar una vuelta atrás de la última política de
seguridad
![Page 64: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/64.jpg)
Security Configuration WizardWindows Server 2003 SP1
![Page 65: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/65.jpg)
Security Configuration WizardWindows Server 2003 SP1
![Page 66: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/66.jpg)
Demostración
![Page 67: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/67.jpg)
Resumen
![Page 68: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/68.jpg)
Reducir la superficie de exposición
Estrategia de Defensa en Profundidad
Principios de seguridadAnálisis de riesgos de seguridad
Mínimo privilegio
![Page 69: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/69.jpg)
Partir de una línea base segura
Desplegar equipos seguros
Fortificación de equiposRevisar el diseño de Active Directory
Ajustar la configuración para entornos concretos
![Page 70: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/70.jpg)
Los Bosques establecen los Límites Reales de Seguridad.
Utilizar Unidades Organizativas para Delegar Administración y aplicar Directivas de Grupo
Separación de Roles de Administración
Diseño de Active Directory
![Page 71: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/71.jpg)
Revisar la guía “Windows Server 2003 Security Guide”
Afinar con Directivas de Grupo para cada Rol de Servidores
Crear una Línea Base de Seguridad Común
Fortificación de servidores
![Page 72: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/72.jpg)
Revisar la guía “Windows XP Security Guide”
Aplicaciones que no requieran permisos administrativos
Gestionar las actualizaciones de seguridad
Fortificación de clientes
![Page 73: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/73.jpg)
![Page 74: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/74.jpg)
Gestion de Directivas de Grupo
![Page 75: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/75.jpg)
Agenda
• Procesamiento
• Planificación
• Componentes
• GPMC
![Page 76: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/76.jpg)
Group Policy Objects
• Tecnología presente en sistemas Windows 2000 y posteriores– Evolución de las system policies de NT
• Permite gestionar centralizadamente clientes• Se basa en Active Directory
– Construir la infraestructura correcta para la aplicación de GPOs
• Se pueden usar localmente – incrementa la carga administrativa
![Page 77: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/77.jpg)
Directivas de GrupoProcesamiento
Site
Domino
OUOUOUOU
OU
GPO1GPO1
GPO2GPO2
GPO3GPO3
GPO4GPO4
• Políticas locales
• Políticas Site
• Políticas Dominio
• Políticas de OU
![Page 78: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/78.jpg)
Directivas de Grupo Procesamiento
Arranque equipoArranque equipo
Configuración de equipos
Scripts de arranque
Configuración de equipos
Scripts de arranque
RefreshRefresh
Inicio de sesiónInicio de sesión
Configuración de usuario
Scripts de logon
Configuración de usuario
Scripts de logon
RefreshRefresh
![Page 79: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/79.jpg)
Directivas de Grupo Procesamiento
• Se pueden actualizar bajo petición– gpupdate
• Filtrado– Utilizando grupos de seguridad– WMI – Windows Server 2003
• Bloqueo• Modo de procesamiento especial:
“loopback GPO processing”• Se pueden delegar permisos sobre GPO’s
![Page 80: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/80.jpg)
Directivas de Grupo Planificación
• Las GPOs simplifican la aplicación de directivas de seguridad
• Utilizar jerarquía– Separar usuarios y equipos– Aplicar las políticas
adecuadas a cada OU– Seguir las guías existentes:
• Windows XP Security Guide
Root Domain
DepartamentoDomain Controller
Secured Users OU Windows XP OU
Desktop OU
Laptop OU
![Page 81: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/81.jpg)
Directivas de Grupo Componentes
• Scripts– De inicio y cierre de sesión de usuario– De arranque y apagado de equipos
• Redirección de carpetas de usuario
• Instalación de Software
• Plantillas de seguridad
• Plantillas administrativas
![Page 82: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/82.jpg)
Directivas de GrupoPlantillas de seguridad
• Las plantillas de seguridad forman parte de las GPOs
• Pero se procesan de manera distinta
• Algunos cambios permanecen después de cambiar de OU
• Usadas para configurar opciones de seguridad en entornos 2000/XP/2003
![Page 83: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/83.jpg)
• Ubicadas en %systemroot%\security\templates– Se incluyen algunas con el SO– Otras están en las guías de seguridad– Se puede y se deben construir las propias
• Se aplican durante la instalación del SO (setup security.inf)
• Usar la herramienta de “Plantillas de Seguridad” para crearlas y editarlas
• Importarlas en las GPO’s
Directivas de GrupoPlantillas de seguridad
![Page 84: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/84.jpg)
Área de seguridad Descripción
Directivas de cuentas Directivas de contraseñas, de bloqueo de cuentas y Kerberos
Directivas localesDirectiva de auditoría, asignación de derechos de usuario y opciones de seguridad
Registro de sucesosConfiguración de los registros de aplicación, sistema y sucesos de seguridad
Grupos restringidos Pertenencia a grupos sensibles a la seguridad
Servicios del sistema Inicio y permisos para servicios del sistema
Registro Permisos para claves del Registro
Sistema de archivos Permisos para carpetas y archivos
Políticas IPSec Políticas, filtros y reglas para aplicar seguridad IP
Restricción de software
Aplicaciones que se permitirán o se prohibirán
Directivas de GrupoPlantillas de seguridad
![Page 85: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/85.jpg)
Directivas de Grupo Plantillas administrativas
• Las plantillas administrativas contienen configuraciones de registro que se pueden aplicar a usuarios y equipos– Con Windows XP SP1 las plantillas administrativas
incluyen sobre 850 opciones. – SP2 añade 609.– La guía “Windows XP Security Guide” incluye 10 plantillas
administrativas adicionales– Software de terceros puede incluir plantillas adicionales– Se pueden construir (323639)
• Se importan las plantillasadicionales y después se editan
![Page 86: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/86.jpg)
Directivas de Grupo Plantillas administrativas
• Internet Explorer– Un posible punto de entrada de amenazas– La configuración se puede controlar mediante GPO– Limitar las configuraciones de seguridad de la zona
Internet• Algunas opciones están incluidas en la guía “Windows XP Security
Guide”
• Office– El Kit de recursos de Office incluye plantillas
administrativas para las distintas aplicaciones– Ejemplo – Macro security
![Page 87: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/87.jpg)
GPMC
• Herramienta mejorada de administración:– Interfaz mejorada
• Basada en cómo los clientes usan las políticas• Gestión de seguridad mejorada
– Generación de informes– Integración del conjunto resultante de directivas
(RSoP)– Nuevas capacidades para un despliegue rápido
• Copia de seguridad/Restauración– Scripts
• Permite personalización y automatización– Soporte para despliegue en etapas
• Primero crearlo en entorno de pruebas• Replicar a producción
![Page 88: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/88.jpg)
Demostración
![Page 89: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/89.jpg)
Resumen
![Page 90: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/90.jpg)
Realizar un diseño sencillo
Revisar las plantillas administrativas
Utilizarlas para aplicar plantillas de seguridad
Directivas de Grupo
![Page 91: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/91.jpg)
Preguntas y respuestas
![Page 92: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/92.jpg)
Para obtener más información
• Sitio de seguridad de Microsoft– http://www.microsoft.com/security– http://www.microsoft.com/spain/seguridad/
• Sitio de seguridad de TechNet (profesionales de IT)– http://www.microsoft.com/technet/security/– http://www.microsoft.com/spain/technet/seguridad/
• Sitio de seguridad de MSDN (desarrolladores)– http://msdn.microsoft.com/security
![Page 93: Fortificación de equipos](https://reader035.vdocuments.net/reader035/viewer/2022081511/568154d9550346895dc2daa9/html5/thumbnails/93.jpg)