Elementos de la seguridad
Anlisis de riesgos
Amenaza
Recurso
Vulnerabilidad
Mtodos de aseguramiento
Tcnicas de
mitigacin
ma!
Alar
!
ggrr
Agenda
Principios bsicos
Defensa en profundidad
Mnimo punto de exposicin
Menor privilegio posible
Proceso de fortificacin
Active Directory
Controlador de dominio
Lnea base
Servidores y clientes
Herramientas
SCE
Security Configuration Wizard
Principios a aplicar
Defensa en profundidad
Mnimo punto de exposicin
Menor privilegio
Defensas de Aplicacin:
Validacin de las entradas,
Antivirus
Defensas de Host:
Defensas de red:
Defensas de permetro:
Filrado de paquetes, IDS,
Cuarentena en VPN
Defensas de
Permetro
Defensas de Red
Defensas de
Host
Defensas de Aplicacin
Datos y Recursos
Seguridad
fsica
Directivas,
procedimientos,
formacin y
concienciacin
Medidas redundantes
Seguridad Fsica
Todo bajo la direccin de la
poltica de seguridad de la
empresa
Basada en capas:
Simplificar la infraestructura
Separacin de roles: acumular servicios en un
mismo servidor aumenta su superficie de ataque
Agenda
Principios bsicos
Defensa en profundidad
Mnimo punto de exposicin
Menor privilegio posible
Proceso de fortificacin
Active Directory
Controlador de dominio
Lnea base
Servidores y clientes
Herramientas
SCE
Security Configuration Wizard
Proceso de fortificacin
Reglas generales
Desplegar sistemas protegidos, no ejecutar procesos de
fortificacin una vez que los sistemas se han desplegado
Es muy difcil, si no se conocen todos los componentes
Metodologa de fortificacin
Red interna
Refuerzo de Seguridad
Active
Directory
Lnea
Base
Proceso
Servidores de
infraestructuras
Servidores de
archivos
Servidores IIS
Servidores RADIUS
Autoridades de
Certificacin
Hosts bastiones
Configuracin
de seguridad
incremental
basada en roles
Active Directory
Componentes
Bosque
Un bosque funciona
como lmite de seguridad
en Active Directory
Dominio
Facilita la gestin
Unidad organizativa
Contenedor de objetos
Directivas de grupo
Active Directory
Consideraciones de diseo
Crear un Plan de Seguridad de Active Directory
Establecer claramente los lmites de seguridad y
administrativos
Seguridad basada en la infraestructura de dominios
Separacin de administradores
Directiva
de dominio
Simplifica la administracin
Directiva de lnea
de la seguridad
de base de servidor
integrante
Aplica la configuracin de
directivas de seguridad a Directiva de
servidores
los servidores y a otros
de impresin
objetos en cada
Directiva de
unidad organizativa
servidores
de archivos
Dominio
Servidores
integrantes
Diseo de
dominios
Controladores
de dominio
Directiva de
controladores de dominio
Administrador
de operaciones
Servidores de impresin
Administrador
de operaciones
Servidores de archivos
Administrador
de servicios
Web
Directiva de
servidores IIS
Servidores Web
Dominio
Polticas
Kerberos
Las directivas de
cuentas se aplican en
el nivel de dominio y
afectan a todas las
cuentas de dominio
Controladores de Dominio
Son los servidores ms importantes de la infraestructura
Poseen la informacin de todos los objetos del Active Directory
Proceso de Instalacin:
En ubicaciones controladas
Bajo la supervisin de administradores
Utilizando procedimientos automatizados
Controladores de dominio
Plantilla de seguridad
La mayora de las directivas coincidirn con la Lnea Base de
Seguridad
Mayores restricciones en los derechos de usuarios
DFS
DNS
NTFRS
KDC
Controladores de Dominio
Medidas de Seguridad Adicionales
Reubicar los directorios de la base de datos y
logs de Active Directory
Incrementar el tamao de los registros de
eventos
Asegurar el servicio DNS
Utilizar actualizaciones dinmicas seguras
Limitar las transferencias de zonas
Controladores de Dominio
Medidas de Seguridad Adicionales
SYSKEY
Protege la SAM de ataques offline
Como contrapartida incrementa los costes
operacionales
Dominio
Directiva de lnea
de base de servidor
integrante
Servidores
Rol 1
Directiva
incremental para
cada rol
Rol 2
Rol 3
Dominio
Departamento
Usuarios
Departamento
N
Windows XP OU
Desktop OU
Laptop OU
Refuerzo de Seguridad
Active
Directory
Lnea
Base
Proceso
Servidores de
infraestructuras
Servidores de
archivos
Servidores IIS
Servidores RADIUS
Autoridades de
Certificacin
Hosts bastiones
Configuracin
de seguridad
incremental
basada en roles
Guas para:
Windows Server 2003
Windows XP Service Pack 2
Wireless LAN Security Guide
Proceso autodocumentado
Refuerzo de Seguridad
Active
Directory
Lnea
Base
Proceso
Servidores de
infraestructuras
Servidores de
archivos
Servidores IIS
Servidores RADIUS
Autoridades de
Certificacin
Hosts bastiones
Configuracin
de seguridad
incremental
basada en roles
Servidores
Aseguramiento de roles especficos
Se partir de la configuracin de lnea base
Se utilizar una plantilla de seguridad
incremental especfica para el rol
Modificando los servicios a usar
Revisando los permisos
Puestos cliente
Directiva de restriccin de aplicaciones
Puestos cliente
Directiva de restriccin de aplicaciones
Seleccionar una configuracin
predeterminada:
Restringida o Permitida
Excepciones a la configuracin
predeterminada:
Reglas hash
Reglas de certificado
Reglas de ruta de acceso
Reglas de zona de Internet
Agenda
Principios bsicos
Defensa en profundidad
Mnimo punto de exposicin
Menor privilegio posible
Proceso de fortificacin
Active Directory
Controlador de dominio
Lnea base
Servidores y clientes
Herramientas
SCE
Security Configuration Wizard
Herramientas de gestin
Plantillas de seguridad
Aplicacin local mediante herramientas
Plantillas de Seguridad
Complemento MMC
Permite editar las plantillas de seguridad
SecEdit
Lnea de comandos
Permite aplicar plantillas mediante scripts
Plantillas de seguridad
Edicin de las plantillas
Permite
Crear nuevas plantillas
Editar las plantillas existentes
Plantillas de seguridad
Configuracin y Anlisis
Aplicar plantillas
Permite
Analizar el estado actual de un servidor con
respecto a una plantilla
Aplicar una plantilla
Pasos:
Se crea una base de datos
Se importa la plantilla
Se genera un registro de errores (log)
Se efecta la operacin deseada
Configuracin y Anlisis
Configuracin y Anlisis
secedit
Edicin de las plantillas
Se utiliza mediante la lnea de comandos
Se puede incluir en scripts
Permite
Analizar
Aplicar
Importar
Exportar
Demostracin
Resumen
Principios de seguridad
Anlisis de riesgos de
seguridad
Estrategia de Defensa en
Profundidad
Reducir la superficie de
exposicin
Mnimo privilegio
Fortificacin de equipos
Revisar el diseo de Active
Directory
Desplegar equipos seguros
Partir de una lnea base segura
Ajustar la configuracin para
entornos concretos
Fortificacin de servidores
Revisar la gua Windows
Server 2003 Security Guide
Crear una Lnea Base de
Seguridad Comn
Afinar con Directivas de Grupo
para cada Rol de Servidores
Fortificacin de clientes
Revisar la gua Windows XP
Security Guide
Gestionar las actualizaciones
de seguridad
Aplicaciones que no requieran
permisos administrativos
Agenda
Procesamiento
Planificacin
Componentes
GPMC
Directivas de Grupo
Procesamiento
GPO1
Polticas locales
Polticas Site
Polticas Dominio
Polticas de OU
Site
GPO2
GPO3
Domino
GPO4
OU
OU
OU
OU
OU
Directivas de Grupo
Procesamiento
Arranque equipo
Refresh
Configuracin de
equipos
Scripts de arranque
Inicio de sesin
Refresh
Configuracin de
usuario
Scripts de logon
Directivas de Grupo
Procesamiento
Se pueden actualizar bajo peticin
gpupdate
Filtrado
Utilizando grupos de seguridad
WMI Windows Server 2003
Bloqueo
Modo de procesamiento especial:
loopback GPO processing
Se pueden delegar permisos sobre GPOs
Directivas de Grupo
Planificacin
Root Domain
Departament
o
Secured
Users OU
Domain
Controller
Windows XP OU
Desktop OU
Laptop OU
Directivas de Grupo
Componentes
Scripts
De inicio y cierre de sesin de usuario
De arranque y apagado de equipos
Directivas de Grupo
Plantillas de seguridad
Las plantillas de seguridad forman parte de las
GPOs
Pero se procesan de manera distinta
Algunos cambios permanecen despus de
cambiar de OU
Usadas para configurar opciones de seguridad en
entornos 2000/XP/2003
Directivas de Grupo
Plantillas de seguridad
Ubicadas en %systemroot%\security\templates
Se incluyen algunas con el SO
Otras estn en las guas de seguridad
Se puede y se deben construir las propias
Se aplican durante la instalacin del SO (setup
security.inf)
Usar la herramienta de Plantillas de Seguridad
para crearlas y editarlas
Importarlas en las GPOs
Directivas de Grupo
Plantillas de seguridad
rea de seguridad
Descripcin
Registro de sucesos
Grupos restringidos
Sistema de archivos
Polticas IPSec
Restriccin de
software
Directivas de Grupo
Plantillas administrativas
Las plantillas administrativas contienen
configuraciones de registro que se pueden aplicar a
usuarios y equipos
Con Windows XP SP1 las plantillas administrativas
incluyen sobre 850 opciones.
SP2 aade 609.
La gua Windows XP Security Guide incluye 10 plantillas
administrativas adicionales
Software de terceros puede incluir plantillas adicionales
Se pueden construir (323639)
editan
Directivas de Grupo
Plantillas administrativas
Internet Explorer
Un posible punto de entrada de amenazas
La configuracin se puede controlar mediante GPO
Limitar las configuraciones de seguridad de la zona
Internet
Algunas opciones estn incluidas en la gua Windows XP Security
Guide
Office
El Kit de recursos de Office incluye plantillas
administrativas para las distintas aplicaciones
Ejemplo Macro security
GPMC
Herramienta mejorada de administracin:
Interfaz mejorada
Generacin de informes
Integracin del conjunto resultante de directivas
(RSoP)
Nuevas capacidades para un despliegue rpido
Copia de seguridad/Restauracin
Scripts
Demostracin
Resumen
Directivas de Grupo
Realizar un diseo sencillo
Utilizarlas para aplicar plantillas
de seguridad
Revisar las plantillas
administrativas
Preguntas y
respuestas