Seguridad en Seguridad en Windows VistaWindows Vista

José Parada GimenoJosé Parada GimenoITPro EvangelistITPro Evangelistjparada@microsoft.comjparada@microsoft.com

AgendaAgenda

Filosofía sobre la seguridad (El Filosofía sobre la seguridad (El Sermón)Sermón)

Presentación Windows Vista Presentación Windows Vista (Marketing)(Marketing)

Seguridad en Windows VistaSeguridad en Windows VistaArranque SeguroArranque Seguro

Ejecución SeguraEjecución Segura

Comunicaciones SegurasComunicaciones Seguras

Mantenimiento de la SeguridadMantenimiento de la Seguridad

El Problema de la SeguridadEl Problema de la Seguridad

Tenemos (mas que suficientes) Tenemos (mas que suficientes) tecnologías de seguridad, pero tecnologías de seguridad, pero no sabemos como estamos (en no sabemos como estamos (en el caso de que lo estemos) de el caso de que lo estemos) de seguros.seguros.

Problemas de seguridad en el Problemas de seguridad en el puesto de trabajo.puesto de trabajo.

Arranque inseguroArranque inseguro¿Quién lo arranca?¿Quién lo arranca?

¿Es realmente el código original?¿Es realmente el código original?Ejecución inseguraEjecución insegura

Usuarios con muchos privilegiosUsuarios con muchos privilegios

Servicios inútiles y con demasiados privilegiosServicios inútiles y con demasiados privilegiosComunicaciones insegurasComunicaciones inseguras

Canales inseguros (IPV4)Canales inseguros (IPV4)

Accesos de clientes inseguros Accesos de clientes inseguros Degradación de la seguridadDegradación de la seguridad

Integración de nuevo softwareIntegración de nuevo software

Dispositivos de almacenamiento masivoDispositivos de almacenamiento masivo

Sistema sin parchearSistema sin parchear

Antivirus y Antimalware desactualizadosAntivirus y Antimalware desactualizados

Sept 2003Developer

engagement

April 2005OEM & IHV

engagement

July 2005Platform beta, IT engagement

End user engagement

H2 2006H2 2006

Calendario Windows VistaCalendario Windows Vista

AccesoAccesoSeguroSeguro

Protección desdeProtección desdelos cimientoslos cimientos

Excelencia enExcelencia enla Ingenierala Ingeniera

Diseñado y desarrollado pensando en Diseñado y desarrollado pensando en la seguridadla seguridad

Permite un acceso a la información y Permite un acceso a la información y los servicios mas fácil y segurolos servicios mas fácil y seguro

Protege de las amenazas de Protege de las amenazas de seguridad y reduce el riesgo de las seguridad y reduce el riesgo de las interrupciones del negocio.interrupciones del negocio.

Control Control IntegradoIntegrado

Proporciona herramientas de Proporciona herramientas de monitorización y gestion monitorización y gestion centralizadas.centralizadas.

Windows VistaWindows Vista

Ejecución SeguraEjecución SeguraFortificación de ServiciosFortificación de ServiciosUser Account ProtectionUser Account ProtectionIE7 Anti-PhishingIE7 Anti-Phishing

Ejecución SeguraEjecución SeguraFortificación de ServiciosFortificación de ServiciosUser Account ProtectionUser Account ProtectionIE7 Anti-PhishingIE7 Anti-Phishing

Comunicación SeguraComunicación SeguraNetwork Access ProtectionNetwork Access ProtectionIntegración del Firewall/IPSecIntegración del Firewall/IPSec

Comunicación SeguraComunicación SeguraNetwork Access ProtectionNetwork Access ProtectionIntegración del Firewall/IPSecIntegración del Firewall/IPSec

Mantenerse mas SeguroMantenerse mas SeguroAnti-malwareAnti-malwareRestart ManagerRestart Manager

Escaner de SeguridadEscaner de Seguridad

Control de la instalación de Control de la instalación de dispositivosdispositivos

Mantenerse mas SeguroMantenerse mas SeguroAnti-malwareAnti-malwareRestart ManagerRestart Manager

Escaner de SeguridadEscaner de Seguridad

Control de la instalación de Control de la instalación de dispositivosdispositivos

Inicio SeguroInicio SeguroBitLocker Drive EncryptionBitLocker Drive EncryptionIntegridad en códigoIntegridad en código

Inicio SeguroInicio SeguroBitLocker Drive EncryptionBitLocker Drive EncryptionIntegridad en códigoIntegridad en código

Vista: El Windows mas seguroVista: El Windows mas seguro

AccesoAccesoSeguroSeguro

Protección desdeProtección desdelos cimientoslos cimientos

Excelencia enExcelencia enla Ingenierala Ingeniera

Control Control IntegradoIntegrado

Proceso de desarrolloProceso de desarrolloProceso de desarrolloProceso de desarrollo

Excelencia en la IngenieríaExcelencia en la IngenieríaProceso de Desarrollo de Windows VistaProceso de Desarrollo de Windows Vista

Durante el desarrollo y creación de Windows Durante el desarrollo y creación de Windows Vista, Microsoft siguió su proceso mejorado de Vista, Microsoft siguió su proceso mejorado de desarrollo seguro (SDL-Security Developmente desarrollo seguro (SDL-Security Developmente LifeCycle).LifeCycle).

Formación periódica obligatoria en seguridad.Formación periódica obligatoria en seguridad.

Asignación de consejeros de seguridad para todos los Asignación de consejeros de seguridad para todos los componentescomponentes

Modelo de amenazas como parte de la fase de diseño.Modelo de amenazas como parte de la fase de diseño.

Test y revisiones de Seguridad dentro del proceso de Test y revisiones de Seguridad dentro del proceso de desarrollo.desarrollo.

Mediciones de seguridad para los equipos de productoMediciones de seguridad para los equipos de producto

Certificación “Common Criteria (CC)Certificación “Common Criteria (CC)CC lo mantiene el “US National Institute of Standards CC lo mantiene el “US National Institute of Standards and Technology” (Que también son responsables de and Technology” (Que también son responsables de FIPS)FIPS)

csrc.nist.govcsrc.nist.gov//cccc

Arranque seguroArranque seguroProtección desde los Protección desde los cimientoscimientos

Arranque seguroArranque seguroProtección desde los Protección desde los cimientoscimientos

BitLocker™ Drive EncryptionBitLocker™ Drive EncryptionIntegridad del códigoIntegridad del código

BitLocker Drive EncryptionBitLocker Drive Encryption

Tecnologías que proporcionan mayor Tecnologías que proporcionan mayor seguridadseguridad

Integridad en el arranque (Requiere Chip Integridad en el arranque (Requiere Chip TPM)TPM)

Cifrado completo del Disco Duro FVDECifrado completo del Disco Duro FVDEProtege los datos si el sistema esta “Off-line”Protege los datos si el sistema esta “Off-line”

Facilidad para el reciclado de equiposFacilidad para el reciclado de equipos

TPM = “Trusted Platform Module”TPM = “Trusted Platform Module”

Ver: www.trustedcomputinggroup.org

Seguridad

Fac

ilida

d d e

Uso

Solo TPM“Lo que es.”Protege de:

Ataques SoftwareVulnerable a: Ataques de Hadware,

incluyendo los mas sencillos

TPM + PIN“Lo que sabes.”Protege de: Casi todos los ataques

HardwareVulnerable a:

Ataques contra la rotura del TPM

Solo Llave“lo que tienes.”

Protege de: Todos los ataques

HardwareVulnerable a: Perdida Llave

Ataques contra el Firmware

TPM + Llave“2 lo que tienes.”Protege de: Casi todos los ataques

HardwareVulnerable a:

Ataques Hardware

BDE nos ofrece un espectro de protección permitiendo balancear

entre facilidad de uso contra nivel de protección

Variedad de proteccionesVariedad de protecciones

**************

Integridad en el ArranqueIntegridad en el ArranqueRequerimientos HardwareRequerimientos Hardware

Trusted Platform Module (TPM) v1.2 Trusted Platform Module (TPM) v1.2 Hardware integrado en el equipo. Ejemplo- Hardware integrado en el equipo. Ejemplo- Un Chip en la Placa BaseUn Chip en la Placa Base

Almacena credenciales de forma segura, como la Almacena credenciales de forma segura, como la clave privada de un certificado de maquina y clave privada de un certificado de maquina y tiene capacidad de cifrado. Tiene la tiene capacidad de cifrado. Tiene la funcionalidad de una SmartCardfuncionalidad de una SmartCardSe usa para solicitud de firma digital de código o Se usa para solicitud de firma digital de código o ficheros y para autenticación mutua de ficheros y para autenticación mutua de dispositivosdispositivos

Firmware (BIOS Convencional o EFI BIOS) – Firmware (BIOS Convencional o EFI BIOS) – Compatible con TCGCompatible con TCG

Establece la cadena de confianza para el pre-Establece la cadena de confianza para el pre-arranque del SOarranque del SODebe de soportar las especificaciones TCG Debe de soportar las especificaciones TCG “Static Root Trust Measurement” (SRTM)“Static Root Trust Measurement” (SRTM)

Integridad en el arranqueIntegridad en el arranqueArquitectura (Static Root of Trust Measurement of early boot Arquitectura (Static Root of Trust Measurement of early boot components)components)

CRTMPCR

PCR

PCR

PCR

PCRPCR = Platform Configuration Register

CRTM=Core Root of Trust Measurement

Cifrado completo del DiscoCifrado completo del DiscoBitLocker™ Drive Encryption (BDE)BitLocker™ Drive Encryption (BDE)

BDE cifra y firma todo el contenido del Disco BDE cifra y firma todo el contenido del Disco DuroDuro

El chip TPM proporciona la gestion de clavesEl chip TPM proporciona la gestion de clavesSi no se tiene el chip TPM se puede utilizar una Si no se tiene el chip TPM se puede utilizar una llave USBllave USB

Por lo tantoPor lo tantoCualquier modificación de los datos, no Cualquier modificación de los datos, no autorizada realizada “off-line” es descubierta y el autorizada realizada “off-line” es descubierta y el acceso es denegadoacceso es denegado

Nos previene de ataques que utilizan herramientas que Nos previene de ataques que utilizan herramientas que acceden al disco duro cuando Windows no se esta acceden al disco duro cuando Windows no se esta ejecutando.ejecutando.

Protección contra el robo de datos cuando se Protección contra el robo de datos cuando se pierde o te roban el equipopierde o te roban el equipo

Parte esencial del arranque seguroParte esencial del arranque seguro

Diseño del Disco y almacen de Diseño del Disco y almacen de llavesllaves

BootBoot

La Partición de Windows Contiene:

•SO Cifrado•Ficheros de Paginación cifrados•Ficheros temporales cifrados•Datos Cifrados•Fichero de hibernación cifrado

La Partición de Arranque Contiene:MBR, Loader, Boot Utilities(Pequeña 50 Mb, sin cifrar)

¿Donde están las claves de cifrado?

1. SRK (Storage Root Key) en el TPM

2. SRK cifra VEK (Volume Encryption Key) protegida por TPM/PIN/Llave

3. VEK se almacena (cifrada con SRK TPM, PIN o Llave) en la partición de arranque (Boot) del disco duro

VEK2

3

WindowsWindows

SRK

1

Integridad del código IIntegridad del código I

Valida la integridad de la imagen de cada Valida la integridad de la imagen de cada binario.binario.

Chequea los hashes de cada paquete que se Chequea los hashes de cada paquete que se carga en el espacio de memoria del Kerenelcarga en el espacio de memoria del Kerenel

También chequea cualquier imagen que se carga También chequea cualquier imagen que se carga en un proceso protegido y dll de sistema que en un proceso protegido y dll de sistema que realizan funciones de cifrado.realizan funciones de cifrado.

Se implementa como un driver del sistema de Se implementa como un driver del sistema de ficherosficheros

Los hashes se almacenan en el catalogo de Los hashes se almacenan en el catalogo de sistema o en un Certificado X.509 embebido en el sistema o en un Certificado X.509 embebido en el ficherofichero

También valida la integridad del proceso de También valida la integridad del proceso de arranquearranque

Chequea el kernel, la HAL y los drivers de Chequea el kernel, la HAL y los drivers de arranquearranque

Si la validación falla, la imagen no se Si la validación falla, la imagen no se cargará.cargará.

Integridad en Código IIIntegridad en Código II

x6x644

Todo el código que funciona con el procesador en modo Todo el código que funciona con el procesador en modo kernel ha de estar firmado o no se cargara.kernel ha de estar firmado o no se cargara.

Los drivers de terceros deben de estar certificados por la Los drivers de terceros deben de estar certificados por la WHQL- o tener un certificado de una CA de MicrosoftWHQL- o tener un certificado de una CA de Microsoft

Sin ninguna excepción. PuntoSin ninguna excepción. Punto

Binarios en modo Usuario no necesitan firma salvo que:Binarios en modo Usuario no necesitan firma salvo que:Implementen funciones de cifradoImplementen funciones de cifrado

Se carguen dentro del servicio de licencias de softwareSe carguen dentro del servicio de licencias de software

x3x322

El firmado solo aplica a los drivers incorporados con WindowsEl firmado solo aplica a los drivers incorporados con Windows

Se puede controlar por políticas que hacer con los de terceros.Se puede controlar por políticas que hacer con los de terceros.

Código Kernel sin firmar se cargaráCódigo Kernel sin firmar se cargará

Binarios en modo usuario – igual que en x64Binarios en modo usuario – igual que en x64

No confundir la validación de hashes con las No confundir la validación de hashes con las firmasfirmas

¿Como afecta esto al ¿Como afecta esto al desarrollador?desarrollador?

Microsoft recomienda firmar el código Microsoft recomienda firmar el código siempre.siempre.

Si tenemos código x64 que se cargue en Si tenemos código x64 que se cargue en modo Kernel tendremos que conseguir un modo Kernel tendremos que conseguir un certificado SPC (Software certificado SPC (Software PublishingPublishing Certificate) y cruzarlo con un certificado de Certificate) y cruzarlo con un certificado de MicrosoftMicrosoft

Opciones de Firmado

VerificaciónFuncionalidad

VerificaciónIdentidad

Intenciónde Uso

Windows Logo program SI SI Lanzamiento

Kernel Mode Code Signing using a SPC

No Si Lanzamiento

WHQL Test Signature program

No Si Pruebas

KMCS Test Signing No No Pruebas

Ejecución SeguraEjecución SeguraProtección desde los Protección desde los cimientoscimientos

Ejecución SeguraEjecución SeguraProtección desde los Protección desde los cimientoscimientosFortificación de los servicios de Fortificación de los servicios de WindowsWindowsReducción de PrivilegiosReducción de Privilegios

Protección de Cuentas de usuario (UAP)Protección de Cuentas de usuario (UAP)IE 7 con modo protegidoIE 7 con modo protegido

Fortificación de los serviciosFortificación de los servicios

Los Servicios de Windows Services fueron Los Servicios de Windows Services fueron una gran superficie de ataque debido a una gran superficie de ataque debido a sus privilegios y a que están siempre sus privilegios y a que están siempre activosactivos

RefactorizaciónRefactorizaciónEjecutar los servicios como “LocalService” o Ejecutar los servicios como “LocalService” o “NetworkService” y no como “LocalSystem” “NetworkService” y no como “LocalSystem” Segmentación de los servicios para que no todo código del Segmentación de los servicios para que no todo código del servicio se ejecute con muchos privilegios (modo Kernel)servicio se ejecute con muchos privilegios (modo Kernel)

PerfiladoPerfiladoPermite a los servicios restringir su comportamiento.Permite a los servicios restringir su comportamiento.

SID (per-service Security Identifier) reconocidos en ACLs SID (per-service Security Identifier) reconocidos en ACLs (Access Control Lists) de los recursos.(Access Control Lists) de los recursos.

Incluye reglas (Firewall) para especificar el Incluye reglas (Firewall) para especificar el comportamiento de redcomportamiento de red

Usuario

LUA user

Low privilege services

Admin

Servicios Sistema

Fortificación de los serviciosFortificación de los servicios

Kernel

D

D

S

S

D D D

S

S

DD

S

SDrivers de Kernel

Servicios de Sistema

Servicios de privilegios bajos

Drivers en modo usuario

ForificaciónForificaciónServiciosServicios

Control Control cuentas cuentas UsuarioUsuario

Reducir el Reducir el tamaño de capas tamaño de capas de riesgode riesgo

Incrementar Incrementar el número el número de capasde capas

SegmentacióSegmentación de n de serviciosservicios

Protección de cuentas Protección de cuentas UsuarioUsuarioUAC (User Account Control)UAC (User Account Control)Nos ayuda a implementar el principio de menor Nos ayuda a implementar el principio de menor privilegio de dos maneras distintas:privilegio de dos maneras distintas:

1.1. El usuario no necesita tener privilegios administrativos para El usuario no necesita tener privilegios administrativos para realizar ciertas tareas para las que se necesitas esos realizar ciertas tareas para las que se necesitas esos privilegios – En cambio:privilegios – En cambio:

Se le pregunta al usuario por credenciales con mas privilegiosSe le pregunta al usuario por credenciales con mas privilegios

2.2. Aunque el usuario tenga privilegios superiores( Ejem. un Aunque el usuario tenga privilegios superiores( Ejem. un administrador), se le pregunta al usuario por su administrador), se le pregunta al usuario por su consentimiento antes de que esos derechos sean consentimiento antes de que esos derechos sean ejercitadosejercitados

No se necesita volver a proporcionar las credenciales, solo se No se necesita volver a proporcionar las credenciales, solo se necesita el consentimientonecesita el consentimiento

Leer: Leer: ww.microsoft.comww.microsoft.com//technettechnet//windowsvistawindowsvista//evaluateevaluate//featfeat//

uaprot.mspxuaprot.mspx

Cambio fundamental en la Cambio fundamental en la operativa de Windowsoperativa de Windows

Hace que el sistema funcione bien como un Hace que el sistema funcione bien como un usuario estándarusuario estándar

Proporciona un método seguro para ejecutar Proporciona un método seguro para ejecutar aplicaciones en un contexto elevadoaplicaciones en un contexto elevado

Requiere marcar las aplicaciones que no sean UACRequiere marcar las aplicaciones que no sean UAC

Deja claro las acciones que tienen un impacto en todo el Deja claro las acciones que tienen un impacto en todo el equipoequipo

Virtualización del registro y ficheros para Virtualización del registro y ficheros para proporcionar compatibilidad.proporcionar compatibilidad.

Escrituras en el registro de la maquina son redirigidas a Escrituras en el registro de la maquina son redirigidas a localizaciones de usuario si el usuario no tiene privilegios localizaciones de usuario si el usuario no tiene privilegios administrativosadministrativos

Efectivamente: cuentas estándar pueden ejecutar Efectivamente: cuentas estándar pueden ejecutar aplicaciones que necesitan cuentas de administración de aplicaciones que necesitan cuentas de administración de manera segura.manera segura.

UAC: Usos y PolíticasUAC: Usos y Políticas

UAC esta activado por defecto ( Beta UAC esta activado por defecto ( Beta 2)2)

UAC no aplica a la cuenta de UAC no aplica a la cuenta de Administrador por defecto que Administrador por defecto que funciona normalmentefunciona normalmente

Se pude controlar mediante una Se pude controlar mediante una políticapolítica

Local Security Settings; Local Policies; Local Security Settings; Local Policies; Security Options; “LUA: Behavior of the Security Options; “LUA: Behavior of the elevation prompt”elevation prompt”

No Prompt – Eleva los privilegios de manera No Prompt – Eleva los privilegios de manera transparentetransparente

Prompt for Consent – Pregunta al usuario si Prompt for Consent – Pregunta al usuario si continua (Yes/No) continua (Yes/No)

Prompt for Credentials – Requiere que el Prompt for Credentials – Requiere que el usuario introduzca credenciales (Por defecto)usuario introduzca credenciales (Por defecto)

Boton “Change Settings”Boton “Change Settings”Antes de realizar los cambios “Apply” o “OK”Antes de realizar los cambios “Apply” o “OK”

Admin Approval ModeAdmin Approval ModeAplicación del SO

Aplicación Firmada Aplicación no Firmada

Herramientas UACHerramientas UAC

Application Verifier

UACPredictor

Herramienta de desarrollo y test

Monitoriza el uso del SO

Proporciona guia

Plug-in de Application VerifierPredice si la aplicación se ejecuta con usuario estandarBuilt-in feature of Windows Vista

Aplicaciones Estandar en Aplicaciones Estandar en modo Usuariomodo Usuario

• KernelKernel• Process CreationProcess Creation• SecuritySecurity• File SystemFile System• RegistryRegistry• ShellShell• UIUI• Control Panel AppletsControl Panel Applets• Application compatibilityApplication compatibility

Protocolo de Seguridad

Nivel de Permisos requeridos

Desarrollo de AplicacionesDesarrollo de AplicacionesGestionadasGestionadas

Gestor de Confianza (Trust Manager)

Internet Explorer 7Internet Explorer 7Además de ser compatible con UAP, Además de ser compatible con UAP, incluirá:incluirá:

Modo ProtegidoModo Protegido (Beta (Beta 22) que solo permite a IE ) que solo permite a IE navegar sin mas permisos, aunque el usuario los navegar sin mas permisos, aunque el usuario los tenga. Ejem. Instalar softwaretenga. Ejem. Instalar software

Modo de “Solo-lectura”, excepto para los ficheros Modo de “Solo-lectura”, excepto para los ficheros temporales de Internet cuando el navegador esta en temporales de Internet cuando el navegador esta en Zona de seguridad de InternetZona de seguridad de Internet

Filtro contra PhisingFiltro contra Phising que actualiza Microsoft cada que actualiza Microsoft cada poco tiempo y usa una red global de fuentes de poco tiempo y usa una red global de fuentes de datosdatos

ActiveX Opt-in, da al usuario el control de ActiveX Opt-in, da al usuario el control de los controles Activexlos controles ActivexTodos los datos de cache se eliminan con un Todos los datos de cache se eliminan con un solo clicksolo click

Filtro anti-PhishingFiltro anti-PhishingProtección dinámica contra Webs Protección dinámica contra Webs FraudulentasFraudulentasRealiza 3Realiza 3 chequeos para proteger al usuario de chequeos para proteger al usuario de posibles timos:posibles timos:

1.1. Compara el Sitio Web con la lista local de sitios legítimos Compara el Sitio Web con la lista local de sitios legítimos conocidosconocidos

2.2. Escanea el sitio Web para conseguir características comunes a Escanea el sitio Web para conseguir características comunes a los sitios con Phisinglos sitios con Phising

3.3. Cheque el sitio con el servicio online que tiene Microsoft sobre Cheque el sitio con el servicio online que tiene Microsoft sobre sitios reportados que se actualiza varias veces cada horasitios reportados que se actualiza varias veces cada hora

Level 1: Warn Suspicious Website

Signaled

Level 2: Block Confirmed Phishing Site

Signaled and Blocked

Dos niveles de Aviso y protección en la barra de Dos niveles de Aviso y protección en la barra de estado de IE7estado de IE7

Comunicaciones Comunicaciones SegurasSegurasAcceso SeguroAcceso Seguro

Comunicaciones Comunicaciones SegurasSegurasAcceso SeguroAcceso Seguro

Network Access ProtectionNetwork Access ProtectionIntegración Firewall/IPSecIntegración Firewall/IPSec

Network Access ProtectionNetwork Access ProtectionNAPNAP

NAP es una nueva tecnología que tiene sus NAP es una nueva tecnología que tiene sus orígenes en la Cuarentena de VPN, pero ahora se orígenes en la Cuarentena de VPN, pero ahora se extiende a todos los clientes de red, y no solo a extiende a todos los clientes de red, y no solo a los de acceso remotolos de acceso remoto

Se apoya en un Servidor NAP, lo que significa Se apoya en un Servidor NAP, lo que significa Windows “Longhorn” Servers por ahora.Windows “Longhorn” Servers por ahora.

Se especifica una política de:Se especifica una política de:Requerir los parches del SO, actualización de firma del Requerir los parches del SO, actualización de firma del antivirus, presencia o ausencia de ciertas aplicaciones, antivirus, presencia o ausencia de ciertas aplicaciones, cualquier chequeo arbitrariocualquier chequeo arbitrario

……y el sistema no permite el acceso a la red si la y el sistema no permite el acceso a la red si la política no se cumple, excepto:política no se cumple, excepto:

A una zona de “Cuarentena” donde se pueden A una zona de “Cuarentena” donde se pueden descargar las actualizaciones o el software necesario.descargar las actualizaciones o el software necesario.

NG TCP/IPNG TCP/IPNext Generation TCP/IP en Vista y “Longhorn”Next Generation TCP/IP en Vista y “Longhorn”

Una pila TCP/IP nueva, totalmente rehechaUna pila TCP/IP nueva, totalmente rehechaImplementación de Doble pila IPv6, con IPSec Implementación de Doble pila IPv6, con IPSec obligatorioobligatorio

IPv6 es mas seguro que IPv4 por diseño:IPv6 es mas seguro que IPv4 por diseño:Privacidad, monitorización, escaneo de puertos, Privacidad, monitorización, escaneo de puertos, confidencialidad e integridadconfidencialidad e integridad

Otras mejoras de seguridad a nivel de red para Otras mejoras de seguridad a nivel de red para IPv4 e IPv6IPv4 e IPv6

Modelo de Host fuerteModelo de Host fuerteCompartimentos de enrutamiento por sesiónCompartimentos de enrutamiento por sesiónWindows Filtering PlatformWindows Filtering PlatformMejora de la resistencia de la pila TCP/IP contra ataques Mejora de la resistencia de la pila TCP/IP contra ataques conocidos de DOSconocidos de DOSAuto-configuración y re-configuración sin reinicioAuto-configuración y re-configuración sin reinicio

Leer: Leer: www.microsoft.comwww.microsoft.com//technettechnet//communitycommunity//columnscolumns//cableguycableguy/cg0905./cg0905.mspxmspx

Configuración de IPsec integrada en el Configuración de IPsec integrada en el firewall para proporcionar facilidad de firewall para proporcionar facilidad de configuración y gestiónconfiguración y gestión

Control del trafico de salidaControl del trafico de salida

Políticas inteligentes por defectoPolíticas inteligentes por defecto

Configuración en pocos pasosConfiguración en pocos pasos

Log mejorado Log mejorado

Protección dinámica del sistemaProtección dinámica del sistemaAplicación de políticas basadas en la ubicación Aplicación de políticas basadas en la ubicación y el estado de las actualizacionesy el estado de las actualizaciones

Integrado con la fortificación de los servicios de Integrado con la fortificación de los servicios de WindowsWindows

Windows Firewall – Seguridad Windows Firewall – Seguridad AvanzadaAvanzadaWindows Firewall – Seguridad Windows Firewall – Seguridad AvanzadaAvanzada

Mantener la Mantener la SeguridadSeguridadControl IntegradoControl Integrado

Mantener la Mantener la SeguridadSeguridadControl IntegradoControl IntegradoAnti-malwareAnti-malware

Gestor de Reinicios (Restart Manager)Gestor de Reinicios (Restart Manager)Client-based Security Scan AgentClient-based Security Scan AgentControl sobre la instalación de Control sobre la instalación de dispositivosdispositivosInfraestructura de SmartCard MejoradaInfraestructura de SmartCard Mejorada

Anti-Malware IntegradoAnti-Malware Integrado

Detección Integrada, limpieza y bloqueo Detección Integrada, limpieza y bloqueo en tiempo real del malware:en tiempo real del malware:

Gusanos, viruses, rootkits y spywareGusanos, viruses, rootkits y spyware

Para usuario Final- La gestion para empresas Para usuario Final- La gestion para empresas será un producto separadoserá un producto separado

Además de UAP, que por supuesto nos Además de UAP, que por supuesto nos prevendrá de muchos tipos de malwareprevendrá de muchos tipos de malware

Integrado con Microsoft Malicious Integrado con Microsoft Malicious Software Removal Tool (MSRT) eliminara Software Removal Tool (MSRT) eliminara viruses, robots, y troyanos durante su viruses, robots, y troyanos durante su actualización o cada mesactualización o cada mes

Restart ManagerRestart Manager

Algunas actualizaciones requieren un Algunas actualizaciones requieren un reinicioreinicio

El Gestor de Reinicios o “Restart El Gestor de Reinicios o “Restart Manager”:Manager”:

Minimiza el numero de reinicio necesarios Minimiza el numero de reinicio necesarios juntando las actualizacionesjuntando las actualizaciones

Gestionar los reinicio de equipos que están Gestionar los reinicio de equipos que están bloqueados y ejecutan aplicacionesbloqueados y ejecutan aplicaciones

E.g. después de un reinicio, Microsoft Word reabrirá E.g. después de un reinicio, Microsoft Word reabrirá un documento en la pagina 27, tal y como estaba un documento en la pagina 27, tal y como estaba antes del reinicioantes del reinicio

Funcionalidad de importancia para la gestion Funcionalidad de importancia para la gestion centralizada de equipos en corporaciones.centralizada de equipos en corporaciones.

Escaner de SeguridadEscaner de Seguridad

Analiza y reporta el estado de seguridad Analiza y reporta el estado de seguridad del cliente Windows:del cliente Windows:

Nivel de parches y actualizacionesNivel de parches y actualizaciones

Estado de la seguridadEstado de la seguridad

Ficheros de firmasFicheros de firmas

Estado del Anti-malwareEstado del Anti-malware

Habilidad de Windows para auto reportar Habilidad de Windows para auto reportar su estadosu estado

La información se puede recoger de La información se puede recoger de manera centralizada o revisado en el manera centralizada o revisado en el Centro de Seguridad por el usuario o el Centro de Seguridad por el usuario o el administradoradministrador

Control instalación dispositivosControl instalación dispositivosControl sobre la instalación de dispositivos removibles vía Control sobre la instalación de dispositivos removibles vía políticaspolíticas

Principalmente para deshabilitar los dispositivos USB, pues Principalmente para deshabilitar los dispositivos USB, pues muchas corporaciones están preocupadas por la perdida en la muchas corporaciones están preocupadas por la perdida en la propiedad intelectual.propiedad intelectual.Control por “Control por “device class”device class”

Drivers aprobados pueden ser pre-populados en un Drivers aprobados pueden ser pre-populados en un almacén de drivers de confianzaalmacén de drivers de confianzaLas politicas de “Driver Store Policies” gobiernan los Las politicas de “Driver Store Policies” gobiernan los paquetes de drivers que no están en el almacén de driverspaquetes de drivers que no están en el almacén de drivers

Drivers estándar no corporativosDrivers estándar no corporativosDrivers sin FirmaDrivers sin Firma

Estas políticas estas deshabilitadas por defecto debido a el Estas políticas estas deshabilitadas por defecto debido a el riesgo inherente que los drivers arbitrarios representan.riesgo inherente que los drivers arbitrarios representan.Una vez que el administrador pone un driver en el Una vez que el administrador pone un driver en el almacén, puede ser instalado independientemente de los almacén, puede ser instalado independientemente de los permisos del usuario que inicie la sesión.permisos del usuario que inicie la sesión.

ReferenciasReferencias

Trusted Computign GroupTrusted Computign Groupwww.trustedcomputinggroup.org

Code Signing Best PracticesCode Signing Best Practiceshttp://www.microsoft.com/whdc/winlogo/drvsign/best_practices.http://www.microsoft.com/whdc/winlogo/drvsign/best_practices.mspxmspx

Firmas digitales para módulos de Firmas digitales para módulos de Kernel (x64)Kernel (x64)

httphttp://www.microsoft.com/whdc/system/platform/64bit/kmsignin://www.microsoft.com/whdc/system/platform/64bit/kmsigning.mspxg.mspx

ContactoContacto

José Parada GimenoJosé Parada GimenoITPro EvangelistITPro Evangelist

jparada@microsoft.comjparada@microsoft.com

http://blogs.technet.com/padreparada/http://blogs.technet.com/padreparada/

http://blogs.technet.com/windowsvistahttp://blogs.technet.com/windowsvista