fortificación de equipos

Fortificación de equipos

Elementos de la seguridad

Amenaza

Recurso

Vulnerabilidad

Análisis de riesgos

Técnicas demitigación

¡Alarma!ggrr!

Métodos de aseguramiento

Agenda

• Principios básicos– Defensa en profundidad– Mínimo punto de exposición– Menor privilegio posible

• Proceso de fortificación– Active Directory– Controlador de dominio– Línea base– Servidores y clientes

• Herramientas– SCE– Security Configuration Wizard

Principios a aplicar

• Defensa en profundidad

• Mínimo punto de exposición

• Menor privilegio

• Cada capa establece sus defensas:– Datos y Recursos: ACLs,

Cifrado– Defensas de Aplicación:

Validación de las entradas, Antivirus

– Defensas de Host: Asegurar el SO, aplicar revisiones y SP, Auditoria

– Defensas de red: Segmentación, VLAN ACLs, IPSec

– Defensas de perímetro: Filrado de paquetes, IDS, Cuarentena en VPN

Datos y Recursos

Defensas de Aplicación

Defensas de Host

Defensas de Red

Defensas de Perímetro

Estrategia de Defensa en Profundidad

• Cada capa asume que la capa anterior ha fallado:– Medidas redundantes

• Seguridad Física• Todo bajo la dirección de la

política de seguridad de la empresa

• Basada en capas:– Aumenta la posibilidad de que

se detecten los intrusos – Disminuye la oportunidad de

que los intrusos logren su propósitoDirectivas,

procedimientos, formación y

concienciación

Directivas, procedimientos,

formación y concienciación

Seguridad físicaSeguridad física

Datos y Recursos

Defensas de Aplicación

Defensas de Host

Defensas de Red

Defensas de Perímetro

Asu

me f

allo

de la c

apa a

nte

rior


Mínimo punto de exposición

• Reducir la superficie de ataque – Instalar sólo los servicios necesarios– Exponer sólo los puertos que ofrezcan servicios

• Simplificar la infraestructura– Separación de roles: acumular servicios en un

mismo servidor aumenta su superficie de ataque

Menor privilegio posible

• Asignar sólo los “mínimos” permisos necesarios• Separación de roles: desarrollo, administración,

operación, ... – No acumular privilegios

• La mayoría de los ataques son internos• Protege de errores “humanos”• Utilizar “Ejecutar como ...”

Menor privilegio posibleCuentas de usuarios

• Los usuarios DEBEN tener sólo los permisos necesarios para realizar sus tareas habituales– No suele ser necesario “Control total del equipo”

• Además facilita el soporte• Es importante, revisar las aplicaciones para

que no requieran permisos administrativos

Menor privilegio posibleCuentas de administración

• Incluso los administradores no necesitan sus privilegios durante todas sus operaciones

• Utilización de dos cuentas:– Usuario Normal para tareas cotidianas (correo electrónico,

procesamiento de textos, etc.) – Una cuenta distinta con permisos de administración (auditar el uso de

esta cuenta)• Formar a los administradores para que usen contraseñas

complejas.– Más de 15 caracteres.– Las frases son fáciles de recordar (en Windows 2000 y 2003 es

posible utilizar espacios)– Smart Cards

• Uso de grupos locales en servidores individuales, para limitar quién puede administrarlos.

Menor privilegio posibleCuentas de servicio

• Limitar el posible daño en caso de que la cuenta estuviera expuesta a ataques.– Compruebe si se puede usar una cuenta local en

lugar de un dominio.• Sin embargo, no funcionará para cuentas que deban comunicarse

con otros servidores.• Por ejemplo, los agentes de SQL suelen necesitar conectividad

con otros servidores.

– Limite los permisos para la cuenta.• Uso de contraseñas complejas• Auditar el uso de estas cuentas

Agenda




Proceso de fortificaciónReglas generales

• Desplegar sistemas protegidos, no ejecutar procesos de fortificación una vez que los sistemas se han desplegado– Es muy difícil, si no se conocen todos los componentes

• Mantener el proceso lo más simple posible– Facilitar el despliegue (imágenes, scripts, ...)– Facilitar el mantenimiento (gestión de actualizaciones,

herramientas)– Eliminar los elementos innecesarios

• Utilizar gestión de cambios (incluyendo imágenes)• Monitorizar el entorno• Formar a los usuarios

– Desarrolladores– Usuarios

Metodología de fortificaciónRed interna

• Asegurar el entorno de Active Directory– Crear un diseño teniendo en cuenta las

implicaciones de seguridad– Revisar el diseño actual

• Crear una Línea Base de Seguridad– Para servidores y puestos clientes– “Mínimo Común” de la seguridad

• Afinar esa Base para cada uno de los roles específicos

Refuerzo de SeguridadProceso

Servidores deinfraestructuras

Servidores de archivos

Servidores IIS

Autoridades de Certificación

Hosts bastiones

Active Directory

Línea Base

Servidores RADIUS

Pro

ce

dim

ien

tos

de

re

fue

rzo

de

la

se

gu

rid

ad

Configuración de seguridad incremental

basada en roles

Active DirectoryComponentes• Bosque

– Un bosque funciona como límite de seguridad en Active Directory

• Dominio– Facilita la gestión

• Unidad organizativa– Contenedor de objetos

• Directivas de grupo– Herramienta clave para

implementar y administrar la seguridad de una red

Active DirectoryConsideraciones de diseño• Crear un Plan de Seguridad de Active Directory• Establecer claramente los límites de seguridad y

administrativos– Seguridad basada en la infraestructura de dominios– Separación de administradores

• Gestionar cuidadosamente grupos con elevados privilegios– Administradores de Empresa (Enterprise Admins)– Administradores de Esquema (Schema Admins)

• Delegar tareas administrativas– Crear una Estructura de Unidades Organizativas

• Para delegación de administración• Para la aplicación de directivas de grupo

• Si ya está desplegado AD, revisar el diseño actual para conocer mejor las posibles vulnerabilidades

Diseño de Active DirectoryPlan de Seguridad

• Analizar el entorno– Centro de datos de intranet– Sucursales– Centro de datos de extranet

• Realizar un análisis de las amenazas– Identificar las amenazas para Active Directory

• Identificar los tipos de amenazas• Identificar el origen de las amenazas

– Determinar medidas de seguridad para las amenazas – Establecer planes de contingencia

Administración Active DirectoryRecomendaciones generales

• Delegar los permisos mínimos necesarios para cada rol

• Utilizar doble cuenta para usuarios administradores– Cuenta de administración (no genérica)– Cuenta de usuario: acceso al correo, documentar,

navegar• Utilizar autenticación fuerte para cuentas de

administración– Autenticación fuerte (dos factores):

• Smart Card y PIN

Diseño de Active DirectoryBosques

• Separar en otro bosque los servidores de Extranet• Crear otro bosque para aislar administradores de

servicios• Bosques y dominios

– Bosque = Límite real de seguridad

– Dominio = Límite de gestión para administradores con buen comportamiento

Diseño de Active DirectoryJerarquía de Unidades Organizativas

• Una jerarquía de unidades organizativas basada en funciones de servidor:– Simplifica la administración

de la seguridad– Aplica la configuración de

directivas de seguridad a los servidores y a otros objetos en cada unidad organizativa

Directiva de dominio Dominio

Diseño de dominios

Directiva de línea de base de servidor

integrante

Servidores integrantes

Controladores de dominio

Directiva de controladores de dominio

Directiva de servidores

de impresión

Directiva de servidores de archivos

Directiva de servidores IIS

Servidores de impresión


Servidores Web

Administrador de operaciones

Administrador de operaciones

Administrador de servicios

Web

• Revisar y modificar la Directiva por defecto– Es posible que no se adecue a las políticas de la

empresa– Para modificarla existen dos estrategias:

• Modificar la Directiva por defecto• Crear una Directiva Incremental

• Establecer elementos comunes a todo el dominio

• Directivas de cuentas• Bloqueo y Desbloqueo de cuentas

Directiva de Grupo de DominioFortalecimiento de configuración

• Políticas de cuentas para los usuarios del dominio

• Caducidad y Complejidad de Contraseñas• Bloqueo y Desbloqueo de cuentas

DominioPolíticas deContraseñas Políticas

Kerberos

Políticas debloqueo decuentas

Las directivas de cuentas se aplican en el nivel de dominio y afectan a todas las cuentas de dominio

Las directivas de cuentas se aplican en el nivel de dominio y afectan a todas las cuentas de dominio

Directiva de Grupo de DominioDirectiva de cuentas

Controladores de Dominio• Son los servidores más importantes de la infraestructura

– Poseen la información de todos los objetos del Active Directory• La seguridad física es importante

– Ubicados en salas con control de acceso• Las copias de seguridad poseen también información

crítica– Se deben almacenar en entornos con control de acceso

• Proceso de Instalación:– En ubicaciones controladas– Bajo la supervisión de administradores– Utilizando procedimientos automatizados

Controladores de dominioPlantilla de seguridad• La mayoría de las directivas coincidirán con la Línea Base de

Seguridad• Mayores restricciones en los derechos de usuarios

– Inicio de sesión interactiva: Sólo administradores– Inicio de sesión por TS: Sólo administradores– Restauración: Sólo administradores– Cambiar la hora del sistema: Sólo administradores

• Configuración servicios específicos:– DFS– DNS– NTFRS– KDC

Controladores de DominioMedidas de Seguridad Adicionales

• Reubicar los directorios de la base de datos y logs de Active Directory

• Incrementar el tamaño de los registros de eventos

• Asegurar el servicio DNS– Utilizar actualizaciones dinámicas seguras– Limitar las transferencias de zonas

• Bloquear puertos con IPSec

Controladores de DominioMedidas de Seguridad Adicionales

• SYSKEY– Protege la SAM de ataques offline– Como contrapartida incrementa los costes

operacionales

Diseño de Active DirectoryDirectivas de Grupo

• Para asegurar servidores:– Línea base común– Medidas adicionales para

cada rol

Dominio

Directiva de línea de base de servidor

integrante

Directiva incremental para

cada rol

Rol 1

Rol 2

Rol 3

Servidores

• Para asegurar puestos:– Separar usuarios y equipos– Aplicar las políticas

adecuadas a cada OU

Departamento

UsuariosWindows XP OU

Desktop OU

Laptop OU

Diseño de Active DirectoryDirectivas de Grupo

Dominio

Departamento N




Servidores IIS


Hosts bastiones

Active Directory

Línea Base

Servidores RADIUS

Pro

ce

dim

ien

tos

de

re

fue

rzo

de

la

se

gu

rid

ad


basada en roles

Establecer línea base8 Recomendaciones básicas

1. Seleccionar aplicaciones de línea base– En toda la empresa:

• Aplicaciones en todos los escritorios• Aplicaciones en todos los servidores

– Revisar la seguridad de estas aplicaciones– Gestionar las actualizaciones de seguridad

y los Service Pack:• Tanto de las aplicaciones como del sistema

operativo


2. En la línea base del sistema operativo, seleccionar los componentes a incluir

– Los “mínimos” componentes necesarios

– No instalar aquellos componentes que no se usen en todos los entornos

– Mínimo punto de exposición


3. Seleccionar las funciones a activar– Tecnologías disponibles (por ejemplo,

Windows Update)– Infraestructuras comunes: PKI


4. Crear plantillas de seguridad– Usando las guías de seguridad como

base• Windows Server 2003 Security Guide• Windows XP Security Guide

– Incluir valores personalizados– Extender SCE (sceregvl.inf)– Comprobar los problemas conocidos

• Guías para: – Windows Server 2003– Windows XP Service Pack 2– Wireless LAN Security Guide

• Estas guías son:– Guías probadas en entornos reales– Diseñadas para preocupaciones reales de

seguridad– Apropiadas para situaciones reales

Microsoft Solutions for SecurityGuías de referencia

• Plantillas para tres escenarios:– “Legacy templates”: predomina la

compatibilidad sobre la seguridad – “Enterprise templates”: apropiadas para la

mayoría de los entornos– “High-security”: mayor restricción de seguridad,

sin compatibilidad

Windows Server 2003 Security GuidePlantillas de seguridad

Windows XP Security GuidePlantillas de seguridad

• Plantillas para tres escenarios:– “Enterprise client”: clientes de Active Directory

con configuraciones de seguridad apropiadas para la mayoría de empresas

– “High-security client”: funcionalidad reducida, mayor restricción de seguridad

– “Stand alone client”: no pertencen a Active Directory, puestos aislados o dominios NT 4.0

Línea Base de SeguridadRecomendaciones

• No aplicar directamente las plantillas:– Revisar detalladamente todas las opciones– Probar los cambios en entorno de laboratorio

antes de implementarlos en producción

Línea Base de SeguridadPosibles cambios• Para evitar operaciones remotas de los

administradores de servicio– Utilizar la política “Denegar inicio de sesión desde red”

• Cuidado con las opciones del registro de sucesos cuando se llena– Denegación de servicio si se llena el registro de seguridad

• Compatibilidad con sistemas anteriores, hace rebajar el nivel de seguridad:– “Firmar digitalmente las comunicaciones (siempre)” (SMB)– “No permitir enumeraciones anónimas de cuentas”– “No almacenar el valor de hash de Lan Manager”– “Nivel de Autenticación de Lan Manager”

Línea Base de SeguridadOtras opciones

• Asegurar la pila TCP/IP– Prevenir ataques DoS

• Deshabilitar la generación automática de nombres 8.3 en NTFS

• Deshabilitar la opción de ejecución automática de CD-ROMs (Autorun)

• Orden de búsqueda de DLLs


5. Añadir bloqueos adicionales– Información extraída de los grupos de

productos, las alertas de seguridad, los expertos de seguridad, las mejores prácticas, etc.

– Políticas de grupo más allá de las plantillas de seguridad (Internet Explorer, Outlook, etc.)

– Servicios (varían según las funciones)– Listas de control de acceso (ACL)– Funciones de servidor (IIS, DC, etc.)– Políticas IPSec


6. Automatizar todo el proceso– Incluso aunque se usen imágenes para el despliegue– Las secuencias de comandos son controlables, las

respuestas de personas menos. Ejemplos:• Archivos de respuestas para el Sistema Operativo• Instalaciones silenciosas y no interactivas

– Kit de administración de Internet Explorer– Asistente para la instalación personalizada de Office

• Ficheros INF de plantillas de seguridad• Scripts en general: Windows Scripting Host (WSH) y

Windows Management Instrumentation (WMI)– Proceso autodocumentado


7. Verificar el funcionamiento como usuario Normal (estaciones de trabajo)

– La inmensa mayoría de los errores en aplicaciones suceden cuando se inicia sesión como usuario Normal.

– Se deben resolver las incompatibilidades antes de la distribución.


8. Controlar el acceso de las cuentas de Administrador y Servicio

– Siguiendo del principio del menor privilegio




Servidores IIS


Hosts bastiones

Active Directory

Línea Base

Servidores RADIUS

Pro

ce

dim

ien

tos

de

re

fue

rzo

de

la

se

gu

rid

ad


basada en roles

ServidoresAseguramiento de roles específicos

• Se partirá de la configuración de línea base• Se utilizará una plantilla de seguridad

incremental específica para el rol– Modificando los servicios a usar– Revisando los permisos

• Se configurarán manualmente las opciones adicionales– Separación de datos y aplicaciones– Dependientes de las aplicaciones del rol– Incluyendo seguridad de las aplicaciones

Servidor de Aplicaciones IISConfiguraciones adicionales• Instalar sólo los componentes necesarios• Habilitar sólo las extensiones necesarias• Ubicar el contenido en volúmenes dedicados

– Evitar usar el volumen de sistema• Establecer permisos NTFS• Establecer permisos IIS sobre los sitios web

– Evitar permisos de ejecución y escritura en el mismo sitio web• Evitar cuentas de servicio de dominio• Asegurar cuentas conocidas:

– Invitado– Administrador

• Filtrado de tráfico mediante IPSec para permitir sólo puertos específicos (80,443)

• La ejecución de código malintencionado supone un riesgo grave para la seguridad

• Las directivas de restricción de software impiden que los usuarios ejecuten código malintencionado: – Se aplican a archivos ejecutables, contenido activo y secuencias de

comandos– Se pueden distribuir con Directiva de grupo

Puestos clienteDirectiva de restricción de aplicaciones

• Seleccionar una configuración predeterminada:– Restringida o Permitida

• Excepciones a la configuración predeterminada: – Reglas hash– Reglas de certificado– Reglas de ruta de acceso– Reglas de zona de Internet

• Si se aplican varias reglas:– Se aplica la prioridad de reglas

Puestos clienteDirectiva de restricción de aplicaciones

Agenda




Herramientas de gestión Plantillas de seguridad

• Aplicación local mediante herramientas– “Plantillas de Seguridad”

• Complemento MMC• Permite editar las plantillas de seguridad

– “Configuración y Análisis de Seguridad”• Complemento MMC• Permite la comparación y la aplicación de varias plantillas de

seguridad

– “SecEdit” • Línea de comandos• Permite aplicar plantillas mediante scripts

Plantillas de seguridadEdición de las plantillas

• Permite– Crear nuevas plantillas– Editar las plantillas existentes

• Ubicación de las plantillas– Ruta por defecto: %systemroot%\security\

templates– Se pueden añadir más rutas

Plantillas de seguridad

Configuración y AnálisisAplicar plantillas

• Permite– Analizar el estado actual de un servidor con

respecto a una plantilla– Aplicar una plantilla

• Pasos:– Se crea una base de datos– Se importa la plantilla– Se genera un registro de errores (log)– Se efectúa la operación deseada

Configuración y Análisis

seceditEdición de las plantillas

• Se utiliza mediante la línea de comandos

• Se puede incluir en scripts

• Permite– Analizar– Aplicar– Importar– Exportar

Security Configuration WizardWindows Server 2003 SP1

• Facilita la aplicación de políticas de seguridad– Va más allá de las plantillas .inf– Políticas IPSec– Entradas en el registro

• Se basa en ficheros XML

• Se puede extender– Incluir aplicaciones propias


• Permite– Crear nuevas políticas de seguridad– Editar las políticas de seguridad existentes– Aplicar políticas de seguridad– Efectuar una vuelta atrás de la última política de

seguridad

Demostración

Resumen

Reducir la superficie de exposición


Principios de seguridadAnálisis de riesgos de seguridad

Mínimo privilegio

Partir de una línea base segura

Desplegar equipos seguros

Fortificación de equiposRevisar el diseño de Active Directory

Ajustar la configuración para entornos concretos

Los Bosques establecen los Límites Reales de Seguridad.

Utilizar Unidades Organizativas para Delegar Administración y aplicar Directivas de Grupo

Separación de Roles de Administración

Diseño de Active Directory

Revisar la guía “Windows Server 2003 Security Guide”

Afinar con Directivas de Grupo para cada Rol de Servidores

Crear una Línea Base de Seguridad Común

Fortificación de servidores

Revisar la guía “Windows XP Security Guide”

Aplicaciones que no requieran permisos administrativos

Gestionar las actualizaciones de seguridad

Fortificación de clientes

Gestion de Directivas de Grupo

Agenda

• Procesamiento

• Planificación

• Componentes

• GPMC

Group Policy Objects

• Tecnología presente en sistemas Windows 2000 y posteriores– Evolución de las system policies de NT

• Permite gestionar centralizadamente clientes• Se basa en Active Directory

– Construir la infraestructura correcta para la aplicación de GPOs

• Se pueden usar localmente – incrementa la carga administrativa

Directivas de GrupoProcesamiento

Site

Domino

OUOUOUOU

OU

GPO1GPO1

GPO2GPO2

GPO3GPO3

GPO4GPO4

• Políticas locales

• Políticas Site

• Políticas Dominio

• Políticas de OU

Directivas de Grupo Procesamiento

Arranque equipoArranque equipo

Configuración de equipos

Scripts de arranque

Configuración de equipos

Scripts de arranque

RefreshRefresh

Inicio de sesiónInicio de sesión

Configuración de usuario

Scripts de logon

Configuración de usuario

Scripts de logon

RefreshRefresh

Directivas de Grupo Procesamiento

• Se pueden actualizar bajo petición– gpupdate

• Filtrado– Utilizando grupos de seguridad– WMI – Windows Server 2003

• Bloqueo• Modo de procesamiento especial:

“loopback GPO processing”• Se pueden delegar permisos sobre GPO’s

Directivas de Grupo Planificación

• Las GPOs simplifican la aplicación de directivas de seguridad

• Utilizar jerarquía– Separar usuarios y equipos– Aplicar las políticas

adecuadas a cada OU– Seguir las guías existentes:

• Windows XP Security Guide

Root Domain

DepartamentoDomain Controller

Secured Users OU Windows XP OU

Desktop OU

Laptop OU

Directivas de Grupo Componentes

• Scripts– De inicio y cierre de sesión de usuario– De arranque y apagado de equipos

• Redirección de carpetas de usuario

• Instalación de Software

• Plantillas de seguridad

• Plantillas administrativas

Directivas de GrupoPlantillas de seguridad

• Las plantillas de seguridad forman parte de las GPOs

• Pero se procesan de manera distinta

• Algunos cambios permanecen después de cambiar de OU

• Usadas para configurar opciones de seguridad en entornos 2000/XP/2003

• Ubicadas en %systemroot%\security\templates– Se incluyen algunas con el SO– Otras están en las guías de seguridad– Se puede y se deben construir las propias

• Se aplican durante la instalación del SO (setup security.inf)

• Usar la herramienta de “Plantillas de Seguridad” para crearlas y editarlas

• Importarlas en las GPO’s


Área de seguridad Descripción

Directivas de cuentas Directivas de contraseñas, de bloqueo de cuentas y Kerberos

Directivas localesDirectiva de auditoría, asignación de derechos de usuario y opciones de seguridad

Registro de sucesosConfiguración de los registros de aplicación, sistema y sucesos de seguridad

Grupos restringidos Pertenencia a grupos sensibles a la seguridad

Servicios del sistema Inicio y permisos para servicios del sistema

Registro Permisos para claves del Registro

Sistema de archivos Permisos para carpetas y archivos

Políticas IPSec Políticas, filtros y reglas para aplicar seguridad IP

Restricción de software

Aplicaciones que se permitirán o se prohibirán


Directivas de Grupo Plantillas administrativas

• Las plantillas administrativas contienen configuraciones de registro que se pueden aplicar a usuarios y equipos– Con Windows XP SP1 las plantillas administrativas

incluyen sobre 850 opciones. – SP2 añade 609.– La guía “Windows XP Security Guide” incluye 10 plantillas

administrativas adicionales– Software de terceros puede incluir plantillas adicionales– Se pueden construir (323639)

• Se importan las plantillasadicionales y después se editan

Directivas de Grupo Plantillas administrativas

• Internet Explorer– Un posible punto de entrada de amenazas– La configuración se puede controlar mediante GPO– Limitar las configuraciones de seguridad de la zona

Internet• Algunas opciones están incluidas en la guía “Windows XP Security

Guide”

• Office– El Kit de recursos de Office incluye plantillas

administrativas para las distintas aplicaciones– Ejemplo – Macro security

GPMC

• Herramienta mejorada de administración:– Interfaz mejorada

• Basada en cómo los clientes usan las políticas• Gestión de seguridad mejorada

– Generación de informes– Integración del conjunto resultante de directivas

(RSoP)– Nuevas capacidades para un despliegue rápido

• Copia de seguridad/Restauración– Scripts

• Permite personalización y automatización– Soporte para despliegue en etapas

• Primero crearlo en entorno de pruebas• Replicar a producción

Demostración

Resumen

Realizar un diseño sencillo

Revisar las plantillas administrativas

Utilizarlas para aplicar plantillas de seguridad

Directivas de Grupo

Preguntas y respuestas

Para obtener más información

• Sitio de seguridad de Microsoft– http://www.microsoft.com/security– http://www.microsoft.com/spain/seguridad/

• Sitio de seguridad de TechNet (profesionales de IT)– http://www.microsoft.com/technet/security/– http://www.microsoft.com/spain/technet/seguridad/

• Sitio de seguridad de MSDN (desarrolladores)– http://msdn.microsoft.com/security

http://www.microsoft.com/security

http://www.microsoft.com/spain/seguridad/



http://www.microsoft.com/technet/security/

http://www.microsoft.com/spain/technet/seguridad/





http://msdn.microsoft.com/security

fortificación de equipos

Documents