Download Windows - Microsoft Center

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
page
13
page
14
page
15
page
16
page
17
page
18
page
19
page
20
page
21
page
22
page
23
page
24
page
25
page
26
page
27
page
28
page
29
page
30
page
31
page
32
page
33
page
34
page
35
page
36
page
37
page
38
page
39
page
40
page
41
page
42
page
43
page
44
page
45
Document related concepts
no text concepts found
Transcript 
Seguridad en Windows
Vista
José Parada Gimeno
ITPro Evangelist
[email protected]
Agenda
Filosofía sobre la seguridad (El Sermón)
Presentación Windows Vista (Marketing)
Seguridad en Windows Vista
Arranque Seguro
Ejecución Segura
Comunicaciones Seguras
Mantenimiento de la Seguridad
El Problema de la Seguridad
Tenemos (mas que suficientes)
tecnologías de seguridad, pero no
sabemos como estamos (en el caso
de que lo estemos) de seguros.
Problemas de seguridad en el
puesto de trabajo.
Arranque inseguro
¿Quién lo arranca?
¿Es realmente el código original?
Ejecución insegura
Usuarios con muchos privilegios
Servicios inútiles y con demasiados privilegios
Comunicaciones inseguras
Canales inseguros (IPV4)
Accesos de clientes inseguros
Degradación de la seguridad
Integración de nuevo software
Dispositivos de almacenamiento masivo
Sistema sin parchear
Antivirus y Antimalware desactualizados
Calendario Windows Vista
Sept 2003
Developer
engagement
April 2005
OEM & IHV
engagement
July 2005
Platform beta,
IT engagement
End user
engagement
H2 2006
Windows Vista
Excelencia en
la Ingeniera
Protección desde
los cimientos
Acceso
Seguro
Control
Integrado
Diseñado y desarrollado pensando en
la seguridad
Protege de las amenazas de
seguridad y reduce el riesgo de las
interrupciones del negocio.
Permite un acceso a la información y
los servicios mas fácil y seguro
Proporciona herramientas de
monitorización y gestion
centralizadas.
Vista: El Windows mas seguro
Excelencia en
la Ingeniera
Proceso de desarrollo
Inicio Seguro
BitLocker Drive Encryption
Integridad en código
Protección desde
los cimientos
Acceso
Seguro
Ejecución Segura
Fortificación de Servicios
User Account Protection
IE7 Anti-Phishing
Comunicación Segura
Network Access Protection
Integración del Firewall/IPSec
Mantenerse mas Seguro
Control
Integrado
Anti-malware
Restart Manager
Escaner de Seguridad
Control de la instalación de dispositivos
Excelencia en la Ingeniería
Proceso de Desarrollo de Windows Vista
Durante el desarrollo y creación de Windows Vista,
Microsoft siguió su proceso mejorado de desarrollo seguro
(SDL-Security Developmente LifeCycle).
Formación periódica obligatoria en seguridad.
Asignación de consejeros de seguridad para todos los componentes
Modelo de amenazas como parte de la fase de diseño.
Test y revisiones de Seguridad dentro del proceso de desarrollo.
Mediciones de seguridad para los equipos de producto
Certificación “Common Criteria (CC)
CC lo mantiene el “US National Institute of Standards and
Technology” (Que también son responsables de FIPS)
csrc.nist.gov/cc
Arranque seguro
Protección desde los cimientos
BitLocker™ Drive Encryption
Integridad del código
BitLocker Drive Encryption
Tecnologías que proporcionan mayor
seguridad
Integridad en el arranque (Requiere Chip TPM)
Cifrado completo del Disco Duro FVDE
Protege los datos si el sistema esta “Off-line”
Facilidad para el reciclado de equipos
TPM = “Trusted Platform Module”
Ver: www.trustedcomputinggroup.org
Variedad de protecciones
Facilidad de Uso
BDE nos ofrece un espectro de protección
permitiendo balancear entre facilidad de
uso contra nivel de protección
Solo TPM
“Lo que es.”
Protege de:
Ataques Software
Vulnerable a:
Ataques de
Hadware,
incluyendo los
mas sencillos
Solo Llave
“lo que tienes.”
Protege de:
Todos los
ataques
Hardware
Vulnerable a:
Perdida Llave
Ataques contra
el Firmware
*******
TPM + PIN
“Lo que sabes.”
Protege de: Casi
todos los ataques
Hardware
Vulnerable a:
Ataques contra la
rotura del TPM
Seguridad
TPM + Llave
“2 lo que tienes.”
Protege de: Casi
todos los ataques
Hardware
Vulnerable a:
Ataques
Hardware
Integridad en el Arranque
Requerimientos Hardware
Trusted Platform Module (TPM) v1.2 Hardware
integrado en el equipo. Ejemplo- Un Chip en la Placa
Base
Almacena credenciales de forma segura, como la clave
privada de un certificado de maquina y tiene capacidad de
cifrado. Tiene la funcionalidad de una SmartCard
Se usa para solicitud de firma digital de código o ficheros y
para autenticación mutua de dispositivos
Firmware (BIOS Convencional o EFI BIOS) –
Compatible con TCG
Establece la cadena de confianza para el pre-arranque del
SO
Debe de soportar las especificaciones TCG “Static Root
Trust Measurement” (SRTM)
Integridad en el arranque
Arquitectura (Static Root of Trust Measurement of early boot components)
CRTM
PCR
PCR
PCR
PCR
PCR = Platform Configuration Register
CRTM=Core Root of Trust Measurement
PCR
Cifrado completo del Disco
BitLocker™ Drive Encryption (BDE)
BDE cifra y firma todo el contenido del Disco Duro
El chip TPM proporciona la gestion de claves
Si no se tiene el chip TPM se puede utilizar una llave USB
Por lo tanto
Cualquier modificación de los datos, no autorizada
realizada “off-line” es descubierta y el acceso es denegado
Nos previene de ataques que utilizan herramientas que acceden al
disco duro cuando Windows no se esta ejecutando.
Protección contra el robo de datos cuando se pierde o te
roban el equipo
Parte esencial del arranque seguro
Diseño del Disco y almacen de llaves
La Partición de Windows Contiene: ¿Donde están las claves de
cifrado?
• SO Cifrado
1. SRK (Storage Root Key) en el TPM
• Ficheros de Paginación cifrados
2. SRK cifra VEK (Volume Encryption Key)
• Ficheros temporales cifrados
protegida por TPM/PIN/Llave
• Datos Cifrados
3. VEK se almacena (cifrada con SRK
• Fichero de hibernación cifrado
TPM, PIN o Llave) en la partición de
arranque (Boot) del disco duro
VEK
1
2
Windows
3
Boot
La Partición de Arranque Contiene:
MBR, Loader, Boot Utilities
(Pequeña 50 Mb, sin cifrar)
S
R
K
Integridad del código I
Valida la integridad de la imagen de cada binario.
Chequea los hashes de cada paquete que se carga en el
espacio de memoria del Kerenel
También chequea cualquier imagen que se carga en un
proceso protegido y dll de sistema que realizan funciones
de cifrado.
Se implementa como un driver del sistema de ficheros
Los hashes se almacenan en el catalogo de sistema o en
un Certificado X.509 embebido en el fichero
También valida la integridad del proceso de arranque
Chequea el kernel, la HAL y los drivers de arranque
Si la validación falla, la imagen no se cargará.
Integridad en Código II
No confundir la validación de hashes con las firmas
x64
Todo el código que funciona con el procesador en modo kernel ha de
estar firmado o no se cargara.
Los drivers de terceros deben de estar certificados por la WHQL- o tener
un certificado de una CA de Microsoft
Sin ninguna excepción. Punto
Binarios en modo Usuario no necesitan firma salvo que:
Implementen funciones de cifrado
Se carguen dentro del servicio de licencias de software
x32
El firmado solo aplica a los drivers incorporados con Windows
Se puede controlar por políticas que hacer con los de terceros.
Código Kernel sin firmar se cargará
Binarios en modo usuario – igual que en x64
¿Como afecta esto al desarrollador?
Microsoft recomienda firmar el código siempre.
Si tenemos código x64 que se cargue en modo
Kernel tendremos que conseguir un certificado SPC
(Software Publishing Certificate) y cruzarlo con un
certificado de Microsoft
Opciones de Firmado Verificación
Funcionalidad
Verificación
Identidad
Intención
de Uso
Windows Logo
program
SI
SI
Lanzamiento
Kernel Mode Code
Signing using a
SPC
No
Si
Lanzamiento
WHQL Test Signature
program
No
Si
Pruebas
KMCS Test Signing
No
No
Pruebas
Ejecución Segura
Protección desde los cimientos
Fortificación de los servicios de Windows
Reducción de Privilegios
Protección de Cuentas de usuario (UAP)
IE 7 con modo protegido
Fortificación de los servicios
Los Servicios de Windows Services fueron una
gran superficie de ataque debido a sus privilegios
y a que están siempre activos
Refactorización
Ejecutar los servicios como “LocalService” o “NetworkService”
y no como “LocalSystem”
Segmentación de los servicios para que no todo código del servicio se
ejecute con muchos privilegios (modo Kernel)
Perfilado
Permite a los servicios restringir su comportamiento.
SID (per-service Security Identifier) reconocidos en ACLs (Access
Control Lists) de los recursos.
Incluye reglas (Firewall) para especificar el comportamiento de red
Fortificación de los servicios
Reducir el tamaño
de capas de riesgo
Segmentación
de servicios
Usuario
Forificación
Servicios
LUA user
Low privilege
services
Admin
Servicios Sistema
S
S
Incrementar el
número de
capas
D Drivers de Kernel
Kernel
S
D D D
S
D
D
S Servicios de Sistema
S Servicios de privilegios bajos
D Drivers en modo usuario
Control
cuentas
Usuario
Protección de cuentas Usuario
UAC (User Account Control)
Nos ayuda a implementar el principio de menor privilegio de dos
maneras distintas:
1.
El usuario no necesita tener privilegios administrativos para realizar
ciertas tareas para las que se necesitas esos privilegios – En cambio:
Se le pregunta al usuario por credenciales con mas privilegios
2.
Aunque el usuario tenga privilegios superiores( Ejem. un administrador),
se le pregunta al usuario por su consentimiento antes de que esos
derechos sean ejercitados
No se necesita volver a proporcionar las credenciales, solo se necesita el
consentimiento
Leer: ww.microsoft.com/technet/windowsvista/evaluate/feat/uaprot.mspx
Cambio fundamental en la operativa de
Windows
Hace que el sistema funcione bien como un usuario
estándar
Proporciona un método seguro para ejecutar aplicaciones en
un contexto elevado
Requiere marcar las aplicaciones que no sean UAC
Deja claro las acciones que tienen un impacto en todo el equipo
Virtualización del registro y ficheros para proporcionar
compatibilidad.
Escrituras en el registro de la maquina son redirigidas a
localizaciones de usuario si el usuario no tiene privilegios
administrativos
Efectivamente: cuentas estándar pueden ejecutar aplicaciones que
necesitan cuentas de administración de manera segura.
UAC: Usos y Políticas
UAC esta activado por defecto ( Beta 2)
UAC no aplica a la cuenta de Administrador
por defecto que funciona normalmente
Se pude controlar mediante una política
Local Security Settings; Local Policies; Security
Options; “LUA: Behavior of the elevation prompt”
No Prompt – Eleva los privilegios de manera
transparente
Prompt for Consent – Pregunta al usuario si continua
(Yes/No)
Prompt for Credentials – Requiere que el usuario
introduzca credenciales (Por defecto)
Boton “Change Settings”
Antes de realizar los cambios “Apply” o “OK”
Admin Approval Mode
Aplicación del SO
Aplicación Firmada
Aplicación no Firmada
Herramientas UAC
Application
Verifier
UAC
Predictor
Herramienta de desarrollo y test
Monitoriza el uso del SO
Proporciona guia
Plug-in de Application Verifier
Predice si la aplicación se ejecuta
con usuario estandar
Built-in feature of Windows Vista
Aplicaciones Estandar en modo
Usuario
• Kernel
• Process Creation
• Security
• File System
• Registry
• Shell
• UI
• Control Panel Applets
• Application compatibility
Desarrollo de Aplicaciones
Gestionadas
Gestor de Confianza (Trust Manager)
Protocolo de Seguridad
Nivel de Permisos requeridos
Internet Explorer 7
Además de ser compatible con UAP, incluirá:
Modo Protegido (Beta 2) que solo permite a IE navegar sin
mas permisos, aunque el usuario los tenga. Ejem. Instalar
software
Modo de “Solo-lectura”, excepto para los ficheros temporales de
Internet cuando el navegador esta en Zona de seguridad de
Internet
Filtro contra Phising que actualiza Microsoft cada poco
tiempo y usa una red global de fuentes de datos
ActiveX Opt-in, da al usuario el control de los
controles Activex
Todos los datos de cache se eliminan con un solo click
Filtro anti-Phishing
Protección dinámica contra Webs Fraudulentas
Realiza 3 chequeos para proteger al usuario de posibles
timos:
1.
2.
3.
Compara el Sitio Web con la lista local de sitios legítimos conocidos
Escanea el sitio Web para conseguir características comunes a los sitios
con Phising
Cheque el sitio con el servicio online que tiene Microsoft sobre sitios
reportados que se actualiza varias veces cada hora
Dos niveles de Aviso y protección en la barra de
estado de IE7
Level 1: Warn
Level 2: Block
Suspicious Website
Signaled
Confirmed Phishing Site
Signaled and Blocked
Comunicaciones Seguras
Acceso Seguro
Network Access Protection
Integración Firewall/IPSec
Network Access Protection
NAP
NAP es una nueva tecnología que tiene sus orígenes en la
Cuarentena de VPN, pero ahora se extiende a todos los
clientes de red, y no solo a los de acceso remoto
Se apoya en un Servidor NAP, lo que significa Windows
“Longhorn” Servers por ahora.
Se especifica una política de:
Requerir los parches del SO, actualización de firma del antivirus,
presencia o ausencia de ciertas aplicaciones, cualquier chequeo
arbitrario
…y el sistema no permite el acceso a la red si la política no
se cumple, excepto:
A una zona de “Cuarentena” donde se pueden descargar las
actualizaciones o el software necesario.
NG TCP/IP
Next Generation TCP/IP en Vista y “Longhorn”
Una pila TCP/IP nueva, totalmente rehecha
Implementación de Doble pila IPv6, con IPSec obligatorio
IPv6 es mas seguro que IPv4 por diseño:
Privacidad, monitorización, escaneo de puertos, confidencialidad e
integridad
Otras mejoras de seguridad a nivel de red para IPv4 e IPv6
Modelo de Host fuerte
Compartimentos de enrutamiento por sesión
Windows Filtering Platform
Mejora de la resistencia de la pila TCP/IP contra ataques
conocidos de DOS
Auto-configuración y re-configuración sin reinicio
Leer:
www.microsoft.com/technet/community/columns/cableguy/cg0905.mspx
Windows Firewall – Seguridad Avanzada
Configuración de IPsec integrada en el firewall para
proporcionar facilidad de configuración y gestión
Control del trafico de salida
Políticas inteligentes por defecto
Configuración en pocos pasos
Log mejorado
Protección dinámica del sistema
Aplicación de políticas basadas en la ubicación y el
estado de las actualizaciones
Integrado con la fortificación de los servicios de Windows
Mantener la Seguridad
Control Integrado
Anti-malware
Gestor de Reinicios (Restart Manager)
Client-based Security Scan Agent
Control sobre la instalación de dispositivos
Infraestructura de SmartCard Mejorada
Anti-Malware Integrado
Detección Integrada, limpieza y bloqueo en tiempo
real del malware:
Gusanos, viruses, rootkits y spyware
Para usuario Final- La gestion para empresas será un
producto separado
Además de UAP, que por supuesto nos prevendrá
de muchos tipos de malware
Integrado con Microsoft Malicious Software
Removal Tool (MSRT) eliminara viruses, robots, y
troyanos durante su actualización o cada mes
Restart Manager
Algunas actualizaciones requieren un reinicio
El Gestor de Reinicios o “Restart Manager”:
Minimiza el numero de reinicio necesarios juntando las
actualizaciones
Gestionar los reinicio de equipos que están bloqueados
y ejecutan aplicaciones
E.g. después de un reinicio, Microsoft Word reabrirá un
documento en la pagina 27, tal y como estaba antes del
reinicio
Funcionalidad de importancia para la gestion centralizada de
equipos en corporaciones.
Escaner de Seguridad
Analiza y reporta el estado de seguridad del
cliente Windows:
Nivel de parches y actualizaciones
Estado de la seguridad
Ficheros de firmas
Estado del Anti-malware
Habilidad de Windows para auto reportar su
estado
La información se puede recoger de manera
centralizada o revisado en el Centro de Seguridad
por el usuario o el administrador
Control instalación dispositivos
Control sobre la instalación de dispositivos removibles vía políticas
Principalmente para deshabilitar los dispositivos USB, pues muchas
corporaciones están preocupadas por la perdida en la propiedad
intelectual.
Control por “device class”
Drivers aprobados pueden ser pre-populados en un almacén de
drivers de confianza
Las politicas de “Driver Store Policies” gobiernan los paquetes de
drivers que no están en el almacén de drivers
Drivers estándar no corporativos
Drivers sin Firma
Estas políticas estas deshabilitadas por defecto debido a el riesgo
inherente que los drivers arbitrarios representan.
Una vez que el administrador pone un driver en el almacén, puede ser
instalado independientemente de los permisos del usuario que inicie
la sesión.
Referencias
Trusted Computign Group
www.trustedcomputinggroup.org
Code Signing Best Practices
http://www.microsoft.com/whdc/winlogo/drvsign/best_practices.mspx
Firmas digitales para módulos de Kernel
(x64)
http://www.microsoft.com/whdc/system/platform/64bit/kmsigning.mspx
Contacto
José Parada Gimeno
ITPro Evangelist
[email protected]
http://blogs.technet.com/padreparada/
http://blogs.technet.com/windowsvista
Related documents
BitLocker y la seguridad Introducción ¿Qué és - UNAM-CERT
BitLocker y la seguridad Introducción ¿Qué és - UNAM-CERT
la tecnología entra acción trusted platform module las
la tecnología entra acción trusted platform module las
Trusted Platform Module (TPM)
Trusted Platform Module (TPM)
Juan Luis García Rambla MVP Windows Security Consultor
Juan Luis García Rambla MVP Windows Security Consultor
Seguridad en Windows Vista
Seguridad en Windows Vista
La Seguridad en Sistemas Microsoft
La Seguridad en Sistemas Microsoft
lote 03 - seguridad
lote 03 - seguridad
Rockey - Kapa Digital
Rockey - Kapa Digital
Service keys
Service keys
Windows Vista
Windows Vista
Tesis previa a la obtención del Título de Ingeniero
Tesis previa a la obtención del Título de Ingeniero
Guía de HP ProtectTools Security Manager
Guía de HP ProtectTools Security Manager
SDSDSP Secure Data Storage Data Security
SDSDSP Secure Data Storage Data Security
Métodos de cifrado en Windows
Métodos de cifrado en Windows
Features Guide - Aranda Software
Features Guide - Aranda Software
Guía de usuario del servidor HPE ProLiant ML30 Gen9
Guía de usuario del servidor HPE ProLiant ML30 Gen9
Guía de solución de problemas del servidor HPE ProLiant ML10 Gen9
Guía de solución de problemas del servidor HPE ProLiant ML10 Gen9
Acceso seguro al Teletrabajo
Acceso seguro al Teletrabajo
Software de sistema operativo preinstalado en fábrica por HPE Guía
Software de sistema operativo preinstalado en fábrica por HPE Guía
Guía de solución de problemas de los servidores HP ProLiant Gen8
Guía de solución de problemas de los servidores HP ProLiant Gen8
Guía de solución de problemas de los servidores HPE ProLiant
Guía de solución de problemas de los servidores HPE ProLiant
Interfaz gráfica de usuario de Dell Lifecycle Controller Guía del
Interfaz gráfica de usuario de Dell Lifecycle Controller Guía del