{Seguridad}

José Parada Gimeno Chema AlonsoITPro Evangelist MVP Windows SecurityMicrosoft Corporation Informática64

AgendaMejoras en la seguridad del Sistema Operativo

Protección del sistema Offline (Bitlocker)Arranque seguro (Bitlocker)Integridad en el código del SOFortificación de los serviciosControl sobre las Cuentas de Usuario (UAC)Control sobre la instalación de dispositivos removibles

Mejoras de Seguridad en RedTSGateway, NAP, VPN SSLWindows Firewall con Seguridad Avanzada e IPSec

Mejoras en la seguridad del Dominio (DA)Auditoria de los servicios de Directorio ActivoControlador de Dominio de Solo-Lectura (RODC)Enterprise PKI

SQL Server 2008

Bitlocker Drive EncryptionConjunto de funcionalidades que nos proporcionan:

Protección cuando el sistema esta Offline mediante el cifrado completo del contenido de los Discos DurosProtección durante el Arranque del Hardware (Imprescindible TPM)

Si sólo quiero utilizar el Cifrado del Disco duro y no tengo TPM, necesito una BIOS que soporte arranque desde dispositivos USB. **El chip TPM valida la integridad del arranque de la máquina y proporciona la gestión de claves.

Cifrado completo del DiscoBitLocker™ Drive Encryption (BDE)

BDE cifra y firma todo el contenido del Disco Duro

Por lo tantoCualquier modificación de los datos, no autorizada realizada “off-line” es descubierta y el acceso es denegado

Nos previene de ataques que utilizan herramientas que acceden al disco duro cuando Windows no se esta ejecutando.

Protección contra el robo de datos cuando se pierde o te roban el equipoÚtil para el reciclado seguro de equipos

Arquitectura Arranque SeguroStatic Root of Trust Measurement of early boot components

CRTM PCR

PCR

PCR

PCR

PCRPCR = Platform Configuration RegisterCRTM=Core Root of Trust Measurement

¿Cómo funciona?

DATA

1

Volume Meta-Data(Existen tres copias redundantes)

FVEK

2

VMK

3

TPM

4

¿Donde esta la clave de cifrado?1. Los datos de cifran con la FVEK2. La FVEK se cifra con la VMK (Volume Master Key) y se

almacena en los metadatos del volumen.3. La VMK es cifrada por uno o mas protectores de la clave, y

se almacena en los metadatos del volumen.4. El Trusted Platform Module no descifrará la VMK si la

integridad del sistema falla.

(Full-Volume Encryption Key)

¿Cómo funciona?

DATA

1

FVEK

2

VMK

3

TPM

4

TPM+USB

TPM+PIN

Llave USB(Recuperación o no-

TPM

123456-789012-345678-

Recovery Password(48 Digitos)

¿Donde esta la clave de cifrado?1. Los datos de cifran con la FVEK2. La FVEK se cifra con la VMK (Volume Master

Key) y se almacena en los metadatos del volumen.

3. La VMK es cifrada por uno o mas protectores de la clave, y se almacena en los metadatos del volumen.

4. El Trusted Platform Module no descifrará la VMK si la integridad del sistema falla.

SQL Server 2008:Cifrado de Datos Transparente (TDE)

Cifrado/descifrado a nivel de Base de Datos utilizando Database Encryption Key (DEK)DEK es cifrada mediante:

Service Master KeyEKM

DEK debe ser descifrada para poder realizar operaciones como attach de bases de datos o recuperación de backups.

SQL Server 2008

DEK

Client Application

Encrypted data page

Predida o robo

de un equipo que contien

e una base de datos

con información

importante.

Copia de ficheros

de una Base de Datos

con un objetivo

malicioso.

Un usuario equivocado consigue las

cintas de backups

correspondientes a una Base

de Datos.

TDE Escenarios

Sin la clave necesario o HSM para descifrar la DEK, la base de datos no puede ser utilizada.

SQL Server 2008:Gestión de Claves Extensible (EKM) Almacenamiento de

claves de cifrado y gestión realizada por dispositivos externos (Hardware Security Module, o HSM)Cifrado/Descifrado realizado sobre los HSM.Nuevo interfaz SQL External Key Management (SQLEKM) para el controlador (driver).

HSM

SQL EKM Drive

r

Integridad en el Código del SO IProtección a los ficheros del SOValida la integridad del proceso de Arranque

Chequea el Kernel, la HAL y los drivers del inicio.Si la validación falla, la imagen no se carga.

Valida la integridad de la imagen de cada binario

Implementado como un driver de filtro de sistemaChequea el hash de cada página según se cargaChequea cualquier imagen que se carga contra un proceso protegidoLos Hashes se almacena en el catalogo de sistema o en un certificado X.509 embebido en el fichero

Integridad en Código del SO II Firmado de los drivers de TercerosNo confundir la validación de hashes con las

firmasx64

Todo el código del kernel ha de estar firmado o no se cargaraLos drivers de terceros deben de estar certificados por la WHQL- o tener un certificado de una CA de MicrosoftSin ninguna excepción. PuntoBinarios en modo Usuario no necesitan firma salvo que:

Implementen funciones de cifradoSe carguen dentro del servicio de licencias de software

x32

El firmado solo aplica a los drivers incorporados con el WindowsSe puede controlar por políticas que hacer con los de terceros.Codigo Kernel sin firmar se cargaráBinarios en modo usuario – igual que en x64

{ Catalogo del Sistema}{ Firma de Drivers}

demo

Stack

Return Address

Locals

Protección de la Memoria Data Execution ProtectionAddress Space Layout Randomization

DEP

Previous Frames

Parameters

Code

Application Code

Library Code

Windows Code

LoadLibrary()

ASLR

Fortificación de los ServiciosLos Servicios de Windows fueron una gran superficie de ataque debido a sus privilegios y a que estaban siempre activos.Mejoras:

Se ejecutan en laSesión0, mientras que la GUI de usuario y las aplicaciones lo hacen en Sesion1SID (per-service Security Identifier) reconocidos en ACLs (Access Control Lists), para que los servicios puedan proteger sus recursosPolítica de Firewall que prohíben el acceso de red por servicio, sujeto a ACLs y SIDsDescomposición de los privilegios innecesarios por servicioCambio de “LocalSystem” a “LocalService” o “NetworkService” cuando es posibleUso de testigos con restricciones de escritura para los procesos de los servicios

Control sobre las cuentas de Usuario IHace que el sistema funcione bien como un usuario estándarProporciona un método seguro para ejecutar aplicaciones en un contexto elevado

Requiere marcar las aplicaciones que no sean UAPDeja claro las acciones que tienen un impacto en todo el equipo

Virtualización del registro y ficheros para proporcionar compatibilidad.

Escrituras en el registro de la maquina son redirigidas a localizaciones de usuario si el usuario no tiene privilegios administrativosEfectivamente: cuentas estándar pueden ejecutar aplicaciones que necesitan cuentas de administración de manera segura.

{ Control Cuentas de Usuario}

demo

Fortificación de ServidorControl sobre la instalación de Dispositivos

Habilidad para bloquear la instalación de cualquier nuevo dispositivo

Se puede desplegar un servidor y no permitir que se instalen nuevos dispositivos

Establecer excepciones basadas en ID o clase de dispositivo

Permite que se añadan teclados y ratones pero nada masPermite IDs específicos Configurable vía Políticas de GrupoEstablecido a nivel de Equipo.

{ Control Instalación dispositivos USB}

NAP: Acceso basado en políticas

Validación de Políticas: Determina si los equipos cumplen con la política de seguridad de la organización. A los que cumplen se les estima como “Saludables”.

Restricciones de Red: Restringe el acceso a la red a los equipos en función de su salud.

Remediación: Provee las actualizaciones necesarias para permitir que un equipo se vuelva saludable. Una vez que esto ocurre, se le quitan las restricciones de red.

Cumplimiento sobre la marcha: Los cambios en la política de seguridad de la organización o en la salud de los equipos pueden provocar restricciones de red.

Network Access ProtectionFuncionamiento

No Cumple

la Política

1

RedRestringida

El cliente solicita acceso a la red y presenta su estado de salud actual

1

4Si no cumple la política el cliente solo tiene acceso a una VLAN restringida donde hay recursos para solucionar sus problemas, descargar actualizaciones, firmas(Repetir 1-4)

2 DHCP, VPN o Switch/Router envía el estado de salud al Servidor de Políticas de Red (RADIUS)

5 Si cumple la política al cliente se le permite el acceso total a la red corporativa

MSFT NPS

3

Servidor de Políticas

Cumple la

Política

3 El Servidor de Políticas (NPS) valida contra la política de salud definida por IT

2

ClienteWindows

DHCP, VPNSwitch/Router

Fix UpServerse.g. Patch

Red Corporativa5

4

Opciones de ForzadoForzado

Cliente Saludable

Cliente no Saludable

DHCPConfiguración IP completa. Acceso Total

Conjunto de rutas restringido

VPN (Microsoft and 3rd Party) Acceso Total VLAN Restringida

802.1X Acceso Total VLAN Restringida

IPsec

Puede comunicar con cualquier nodo en que confie

Nodos saludables rechazan la conexión de sistemas no Saludables

•Complementa la protección a nivel 2•Funciona con la infraestructura existente•Aislamiento Flexible

{ Configuración NAP}

NameTitleGroup

demo

DesplieguePlanificación de Requerimientos

Definir la política de salud requeridaDefinir los métodos de forzado requeridosPlanificar la arquitectura NAPPlanificar las excepciones

Definir roles y responsabilidadesFases del despliegue

Pruebas en LaboratorioPilotoModo de ReporteForzado diferidoForzado

VPN con SSL – SSTP

SSTP= Secure Socket Tunneling ProtocolUna nuevo tunel VPN que permite pasar trafico por firewalls y proxy que bloquean trafico PPTP y L2TP/IPsec.Un mecanismo para encapsular trafico PPP por el canal SSL del protocolo HTTPS.Al usar trafico HTTPS el trafico va por el puerto 443.Solo soportado por Windows 2008 y Windows Vista Service Pack 1

Consideraciones SSTP

El servidor necesita un certificado.El cliente necesita consultar la CLR para saber si el certificado del servidor esta al día y por tanto la CRL debe de estar publicado y accesible para el cliente.Si se cambia el certificado en el servidor SSTP hay que realizar el cambio mediante el comando netsh.

Intelligent Application Gateway

VPN SSLComprobación

ClientePolítica ApplicaiónUbicación

EDGE

La “Sin” de Microsoft

http://secunia.com/product/6782/

SQL Sever 2008 :Authentication EnhancementsSQL Server 2005

Posibilidad de usar Kerberos solo con conexiones TCP/IPSPN deben registrarse en el AD

SQL Server 2008Posibilidad de usar Kerberos con todos los protocolosSPN puede ser especificado en la cadena de conexión (OLEDB/ODBC)Posibilidad de utilizar Kerberos sin tener el SPN registrado en el AD

RecursosGuía paso a paso W2K8

http://www.microsoft.com/downloads/details.aspx?familyid=518D870C-FA3E-4F6A-97F5-ACAF31DE6DCE&displaylang=en

Librería Técnicahttp://technet2.microsoft.com/windowsserver2008/en/library/61d24255-dad1-4fd2-b4a3-a91a22973def1033.mspx?mfr=true

Foro de Seguridad W2K8http://forums.microsoft.com/TechNet/ShowForum.aspx?ForumID=581&SiteID=17

Recursos TechNet• TechCenter de Windows Server 2008

http://www.microsoft.com/spain/technet/prodtechnol/windowsserver/2008/default.mspx

• Próximos webcasts en vivohttp://www.microsoft.com/spain/technet/jornadas/default.mspx

• Webcasts grabados sobre Windows Server

http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx?id=1

• Webcasts grabados otras tecnologías Microsoft

http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx

• Foros técnicoshttp://forums.microsoft.com/technet-es/default.aspx?siteid=30

Chema AlonosoMicrosoft MVP Windows Securitychema@informatica64.com http://elladodelmal.blogspot.com

Informática 64