modelo de defensa en profundidad-microsoft
TRANSCRIPT
ImplementaciónImplementación de seguridadde seguridad enen aplicacionesaplicaciones yy datosdatos
Mónica FernándezMónica Fernández
ConsultorConsultor
Microsoft Microsoft
RequisitosRequisitos previosprevios parapara lala sesiónsesión Conocimiento Conocimiento dede loslos fundamentosfundamentos dede
seguridadseguridad dede unauna redred Experiencia práctica con Experiencia práctica con
Windows® Server 2000 o Windows® Server 2000 o Windows Server™ 2003Windows Server™ 2003
Experiencia con las herramientas de Experiencia con las herramientas de administración de Windowsadministración de Windows
Experiencia práctica con las herramientas Experiencia práctica con las herramientas de administración de SQL Server y de administración de SQL Server y Exchange ServerExchange Server
NivelNivel 300300
AgendaAgenda
IntroducciónIntroducción Protección de Exchange ServerProtección de Exchange Server Protección de SQL ServerProtección de SQL Server Seguridad en Small Business ServerSeguridad en Small Business Server Seguridad en la informaciónSeguridad en la información
DefensaDefensa enen profundidadprofundidad Modelo de seguridad por capas :Modelo de seguridad por capas :
Aumenta las opciones de detección de intrusosAumenta las opciones de detección de intrusos Disminuye el riesgo de que los intrusos logren Disminuye el riesgo de que los intrusos logren
su propósitosu propósito
Directivas, procedimientos y concienciación
Directivas, procedimientos y concienciación
RefuerzoRefuerzo deldel sistemasistema operativo,operativo, administraciónadministración dede actualizaciones,actualizaciones, autenticación,autenticación, HIDSHIDS
Firewalls,Firewalls, sistemassistemas dede cuarentenacuarentena enen VPNVPNGuardiasGuardias dede seguridad,seguridad, bloqueos,bloqueos, dispositivosdispositivos dede seguimientoseguimiento
SegmentosSegmentos dede red,red, IPSec,IPSec, NIDSNIDS
RefuerzoRefuerzo dede laslas aplicaciones,aplicaciones, antivirusantivirus
ACL,ACL, cifradocifrado
ProgramasProgramas dede aprendizajeaprendizaje parapara loslos usuariosusuarios
Seguridad físicaSeguridad física
PerímetroPerímetro
Red internaRed interna
HostHost
AplicaciónAplicación
DatosDatos
ImportanciaImportancia dede lala seguridadseguridad enen laslas aplicacionesaplicaciones LasLas defensasdefensas perimetralesperimetrales
proporcionanproporcionan unauna protecciónprotección limitadalimitada Muchas defensas basadas en hosts Muchas defensas basadas en hosts
no son especificas de las no son especificas de las aplicacionesaplicaciones
En la actualidad, la mayor parte de En la actualidad, la mayor parte de los ataques se producen en la capa los ataques se producen en la capa de aplicaciónde aplicación
ImportanciaImportancia dede lala seguridadseguridad en la informaciónen la información
ProtejaProteja la informaciónla información comocomo últimaúltima línealínea dede defensadefensa
Configure los permisos Configure los permisos de archivode archivo
Configure el cifrado de los datosConfigure el cifrado de los datos Protege la confidencialidad de la Protege la confidencialidad de la
información cuando la seguridad información cuando la seguridad física se ve comprometidafísica se ve comprometida
RecomendacionesRecomendaciones parapara loslos servidoresservidores dede aplicacionesaplicaciones
Configure el sistema operativo básico para que sea seguro
Aplique los Service Packs y revisiones del sistema operativo y de las aplicaciones
Instale o habilite únicamente los servicios necesarios
Asigne los permisos mínimos a las cuentas de las aplicaciones
Aplique los principios de defensa en profundidad para aumentar la protección
Asigne únicamente aquellos permisos necesarios para realizar las tareas requeridas
AgendaAgenda
IntroducciónIntroducción Protección de Exchange ServerProtección de Exchange Server Protección de SQL ServerProtección de SQL Server Seguridad en Small Business ServerSeguridad en Small Business Server Seguridad en la informaciónSeguridad en la información
DependenciasDependencias dede seguridadseguridad dede ExchangeExchange LaLa seguridadseguridad dede ExchangeExchange dependedepende de:de:
La seguridad del sistema operativoLa seguridad del sistema operativo La seguridad de la redLa seguridad de la red La seguridad de IIS La seguridad de IIS
(si se utiliza OWA)(si se utiliza OWA) La seguridad del cliente La seguridad del cliente
(Outlook)(Outlook) La seguridad de Active DirectoryLa seguridad de Active Directory
Recuerde:Recuerde: defensadefensa enen profundidadprofundidad
Recuerde:Recuerde: defensadefensa enen profundidadprofundidad
SeguridadSeguridad enen loslos servidoresservidores ExchangeExchange ServidoresServidores B Back-Endack-End dede ExchangeExchange 20002000
Aplique la plantilla de seguridad básica y la plantilla incremental Aplique la plantilla de seguridad básica y la plantilla incremental para Back-End de Exchangepara Back-End de Exchange
Servidores Front-End de Exchange 2000Servidores Front-End de Exchange 2000 Aplique la plantilla de seguridad básica y la plantilla incremental Aplique la plantilla de seguridad básica y la plantilla incremental
para Front-End de Exchangepara Front-End de Exchange Desmonte los almacenes privados y públicosDesmonte los almacenes privados y públicos
Servidor OWA de Exchange 2000Servidor OWA de Exchange 2000 Aplique Bloqueo de seguridad de IIS, incluido URLScanAplique Bloqueo de seguridad de IIS, incluido URLScan
Servidor Back-End de Exchange 2003Servidor Back-End de Exchange 2003 Aplique plantillas de seguridad de protocoloAplique plantillas de seguridad de protocolo
Servidor Front-End y de OWA de Exchange 2003Servidor Front-End y de OWA de Exchange 2003 Bloqueo de seguridad de IIS y URLScan integrados con IIS 6.0Bloqueo de seguridad de IIS y URLScan integrados con IIS 6.0 Utilice el modo de aislamiento de aplicacionesUtilice el modo de aislamiento de aplicaciones
AspectosAspectos dede seguridadseguridad enen loslos servidoresservidores ExchangeExchange SeguridadSeguridad deldel accesoacceso aa loslos servidoresservidores
ExchangeExchange Bloqueo del acceso no autorizadoBloqueo del acceso no autorizado
Seguridad en las comunicacionesSeguridad en las comunicaciones Bloqueo y cifrado de las comunicacionesBloqueo y cifrado de las comunicaciones
Bloqueo del correo no deseadoBloqueo del correo no deseado Filtrado del correo entranteFiltrado del correo entrante Restricciones de reenvío: no ayude a los Restricciones de reenvío: no ayude a los
sistemas de envío de correo no deseadosistemas de envío de correo no deseado Bloqueo de los mensajes de correo Bloqueo de los mensajes de correo
electrónico no seguroselectrónico no seguros Detección de virusDetección de virus Bloqueo de los archivos adjuntosBloqueo de los archivos adjuntos
ConfiguraciónConfiguración dede lala autenticación,autenticación, parteparte 11 ProtejaProteja lala autenticaciónautenticación dede loslos
clientes Outlookclientes Outlook Configure Exchange y Outlook 2003 Configure Exchange y Outlook 2003
para utilizar RPC sobre HTTPSpara utilizar RPC sobre HTTPS Configure SPA para cifrar la autenticación Configure SPA para cifrar la autenticación
de los clientes de protocolos Internetde los clientes de protocolos Internet
Recuerde:Recuerde: unauna autenticaciónautenticación segurasegura nono equivaleequivale aa cifrarcifrar loslos datosdatos
Recuerde:Recuerde: unauna autenticaciónautenticación segurasegura nono equivaleequivale aa cifrarcifrar loslos datosdatos
ConfiguraciónConfiguración dede lala autenticación,autenticación, parteparte 22
Método de autenticación Consideraciones
Autenticación básica No segura, a menos que requiera SSL
Autenticación integrada Compatibilidad limitada en los clientes,
problemas con servidores de seguridad
Autenticación Digest
Compatibilidad limitada en los clientes
Autenticación basada en formularios
Capacidad de personalizar la autenticación Amplia compatibilidad con clientes Disponible con Exchange Server 2003
OWAOWA admiteadmite variosvarios métodosmétodos dede autenticación:autenticación:
SeguridadSeguridad enen laslas comunicacionescomunicaciones ConfigureConfigure elel cifradocifrado RPCRPC
Configuración en el clienteConfiguración en el cliente Aplicación con el FP1 de ISA ServerAplicación con el FP1 de ISA Server
Bloqueo del servidor de seguridadBloqueo del servidor de seguridad Publicación del servidor de correo con Publicación del servidor de correo con
ISA ServerISA Server Configure HTTPS para OWAConfigure HTTPS para OWA Utilice S/MIME para el cifrado de los Utilice S/MIME para el cifrado de los
mensajesmensajes Mejoras de Outlook 2003Mejoras de Outlook 2003
Autenticación KerberosAutenticación Kerberos RPC sobre HTTPSRPC sobre HTTPS
CifradoCifrado dede unun mensajemensaje
Active DirectoryControlador de dominio
Cliente 1
Cliente 2
SMTP VS1SMTP VS 2
Se busca la clave pública del cliente 2
El mensaje se envía con S/MIME
El mensaje se cifra con una clave compartida
Mensaje nuevo
1
2
3
4
El mensaje llega cifrado5
La clave privada del cliente 2 se utiliza para descifrar la clave compartida que, a su vez, se emplea para descifrar el mensaje
6
DemostraciónDemostración 11SeguridadSeguridad dede ExchangeExchange
ConfiguraciónConfiguración dede lala autenticaciónautenticación basadabasada enen
formulariosformulariosConfiguraciónConfiguración deldel cifradocifrado RPCRPC
UsoUso dede ISAISA ServerServer parapara publicación depublicación de ExchangeExchange
BloqueoBloqueo dede correocorreo nono deseadodeseado enen ExchangeExchange 20002000 CierreCierre dede reenvíosreenvíos Protéjase de la suplantación de Protéjase de la suplantación de
direccionesdirecciones Impida que Exchange resuelva los Impida que Exchange resuelva los
nombres de destinatario en cuentas GALnombres de destinatario en cuentas GAL Configure búsquedas DNS inversasConfigure búsquedas DNS inversas
BloqueoBloqueo dede correocorreo nono deseadodeseado enen ExchangeExchange 20032003 UtiliceUtilice característicascaracterísticas adicionalesadicionales enen
ExchangeExchange ServerServer 20032003 Soporte para listas de bloqueo en tiempo realSoporte para listas de bloqueo en tiempo real Listas globales de direcciones rechazadas y Listas globales de direcciones rechazadas y
aceptadasaceptadas Filtrado de destinatarios y remitentesFiltrado de destinatarios y remitentes Mejoras en la protección contra el reenvíoMejoras en la protección contra el reenvío Integración con Outlook 2003 y filtrado de Integración con Outlook 2003 y filtrado de
correo no deseado de terceroscorreo no deseado de terceros
DemostraciónDemostración 22 ConfiguraciónConfiguración dede lala
protecciónprotección contracontra elel correocorreo no deseadono deseado dede ExchangeExchange
ProtecciónProtección contracontra el reenvíoel reenvío
BloqueoBloqueo dede mensajesmensajes nono segurosseguros ImplementeImplemente gatesaysgatesays antivirusantivirus
Supervisión de los mensajes entrantes y Supervisión de los mensajes entrantes y salientessalientes
Actualización frecuente de las firmas Actualización frecuente de las firmas Configure la seguridad en los archivos Configure la seguridad en los archivos
adjuntos de Outlookadjuntos de Outlook La seguridad del explorador Web determina La seguridad del explorador Web determina
si los archivos adjuntos se pueden abrir en si los archivos adjuntos se pueden abrir en OWAOWA
Implemente ISA ServerImplemente ISA Server Message Screener puede bloquear los Message Screener puede bloquear los
mensajes entrantesmensajes entrantes
UsoUso dede permisospermisos parapara protegerproteger ExchangeExchange
ModelosModelos dede administraciónadministración
CentralizadaCentralizada DescentralizadaDescentralizada
DelegaciónDelegación dede permisospermisos Creación de grupos administrativosCreación de grupos administrativos Uso de roles administrativosUso de roles administrativos Delegación del control administrativoDelegación del control administrativo
MejorasMejoras enen ExchangeExchange ServerServer 20032003
MuchasMuchas configuracionesconfiguraciones sonson segurasseguras dede formaforma predeterminadapredeterminada
Permisos más restrictivosPermisos más restrictivos Nuevas características de transporte de Nuevas características de transporte de
correocorreo Nuevo Asistente para conexión a InternetNuevo Asistente para conexión a Internet Soporte para autenticación entre forestSoporte para autenticación entre forest
DefensaDefensa enen profundidadprofundidad
Eficiencia Continuidad
Ajuste del rendimientoSistema ExchangePolíticasGestión de capacidad
Seguridad
AlmacenamientoAdministración
Actualizaciones de hardwareRendimiento
Monitorización
Recuperación ante desastresSoporte técnico
AntivirusMonitorización de eventos
Administraciónde cambios
Directivas de seguridadAspectos relativos a firewalls
Políticas del sistema ExchangePertenencia a grupos de Active Directory
UPSPruebas de recuperaciónMonitorización de disponibilidadGestión de disponibilidad
Políticas de grupo Copia de seguridad
DiezDiez principiosprincipios fundamentalesfundamentales parapara protegerproteger ExchangeExchange
Instale los Service Pack más recientes
Instale todas las revisiones de seguridad aplicables
Ejecute MBSA
Compruebe de la configuración de reenvío
Deshabilite o proteja las cuentas conocidas
Utilice una solución antivirus por capas
Utilice un firewall
Evalúe ISA Server
Proteja OWA
Implemente una estrategia de copia de seguridad
1
2
3
4
5
6
7
8
9
10
AgendaAgenda
IntroducciónIntroducción Protección de Exchange ServerProtección de Exchange Server Protección de SQL ServerProtección de SQL Server Seguridad en Small Business ServerSeguridad en Small Business Server Seguridad en la informaciónSeguridad en la información
ConfiguraciónConfiguración básicabásica dede seguridadseguridad ApliqueAplique ServiceService PacksPacks yy revisionesrevisiones
Utilice MBSA para detectar las Utilice MBSA para detectar las actualizaciones de SQL no aplicadasactualizaciones de SQL no aplicadas
Deshabilite los servicios que no se Deshabilite los servicios que no se utilicenutilicen MSSQLSERVER (obligatorio)MSSQLSERVER (obligatorio) SQLSERVERAGENTSQLSERVERAGENT MSSQLServerADHelperMSSQLServerADHelper Microsoft SearchMicrosoft Search Microsoft DTCMicrosoft DTC
AmenazasAmenazas comunescomunes parapara loslos servidoresservidores dede basesbases dede datosdatos yy medidasmedidas preventivaspreventivas
Servidor SQL
ExploradorAplicación
Web
Acceso externo no autorizado
Inserción de SQL
“Crackear“ contraseñas Espionaje
de red
Puntos vulnerables de la redNo se bloquean los puertos SQL
Puntos vulnerables de la configuración
Cuenta de servicio con demasiados privilegios
Permisos poco restringidosNo se utilizan certificados
Puntos vulnerables de las aplicaciones Web
Cuentas con demasiados privilegiosValidación semanal de las entradas
Firewall internoFirewall perimetral
CategoríasCategorías dede seguridadseguridad dede loslos servidoresservidores dede basesbases dede datosdatos
Red
Sis
tem
a o
per
ativ
oS
ervi
do
r S
QL
Rev
isio
nes
y a
ctu
aliz
acio
nes
Recursos compartidos
Servicios
Cuentas
Auditoría y registro
Archivos y directorios
Registro
Protocolos Puertos
Seguridad de SQL Server
Objetos de base de datos
Logins, usuarios y funciones
SeguridadSeguridad dede lala redred
LimiteLimite SQLSQL ServerServer parapara queque utiliceutilice TCP/IPTCP/IP
Refuerce la pila TCP/IPRefuerce la pila TCP/IP Restrinja los puertosRestrinja los puertos
SeguridadSeguridad deldel sistemasistema operativooperativo
ConfigureConfigure lala cuentacuenta dede servicioservicio de SQLde SQL ServerServer concon loslos mínimosmínimos permisospermisos posiblesposibles
Elimine o deshabilite las cuentas Elimine o deshabilite las cuentas que no se utilicenque no se utilicen
Proteja el tráfico de autenticaciónProteja el tráfico de autenticación
Logins,Logins, usuariosusuarios yy funcionesfunciones
UtiliceUtilice unauna contraseñacontraseña segurasegura parapara lala cuentacuenta dede administradoradministrador deldel sistemasistema (sa)(sa)
Elimine la cuenta de usuario invitado Elimine la cuenta de usuario invitado (guest) de SQL(guest) de SQL
Elimine el login BUILTIN\Elimine el login BUILTIN\AdministradoresAdministradores
No conceda permisos para el rol No conceda permisos para el rol públicopúblico
Archivos,Archivos, directoriosdirectorios yy recursosrecursos compartidoscompartidos CompruebeCompruebe loslos permisospermisos dede loslos directoriosdirectorios
dede instalacióninstalación dede SQLSQL ServerServer Compruebe que el grupo Everyone no tiene Compruebe que el grupo Everyone no tiene
permisos para los archivos de SQL Serverpermisos para los archivos de SQL Server Proteja los ficheros de log de la instalaciónProteja los ficheros de log de la instalación Proteja o elimine las herramientas, utilidades Proteja o elimine las herramientas, utilidades
y SDKy SDK Elimine los recursos compartidos Elimine los recursos compartidos
innecesariosinnecesarios Restrinja el acceso a los recursos Restrinja el acceso a los recursos
compartidos necesarioscompartidos necesarios Proteja las claves del Registro con ACLProteja las claves del Registro con ACL
SeguridadSeguridad dede SQLSQL
EstablezcaEstablezca lala autenticaciónautenticación comocomo SóloSólo WindowsWindows
Si debe utilizar la Si debe utilizar la autenticación de SQL autenticación de SQL Server, compruebe que Server, compruebe que se cifra el tráfico de se cifra el tráfico de autenticaciónautenticación
AuditoríaAuditoría dede SQLSQL RegistreRegistre todostodos loslos intentosintentos erróneoserróneos dede
iniciariniciar sesiónsesión enen WindowsWindows Registre las acciones erróneas y Registre las acciones erróneas y
correctas en el sistema de archivoscorrectas en el sistema de archivos Habilite la auditoría de inicios de sesión Habilite la auditoría de inicios de sesión
de SQL Serverde SQL Server Habilite la auditoría general Habilite la auditoría general
de SQL Serverde SQL Server
SeguridadSeguridad dede loslos objetosobjetos dede basebase dede datosdatos
ElimineElimine laslas basesbases dede datosdatos dede ejemploejemplo Proteja los procedimientos almacenadosProteja los procedimientos almacenados Proteja los procedimientos almacenados Proteja los procedimientos almacenados
extendidosextendidos Limite el acceso de cmdExec a la función Limite el acceso de cmdExec a la función
sysadminsysadmin
UsoUso dede vistasvistas yy procedimientosprocedimientos almacenadosalmacenados LasLas consultasconsultas SQLSQL puedenpueden contenercontener
informacióninformación confidencialconfidencial Utilice procedimientos almacenados siempre Utilice procedimientos almacenados siempre
que sea posibleque sea posible Utilice vistas en lugar de permitir el acceso Utilice vistas en lugar de permitir el acceso
directo a las tablasdirecto a las tablas
Implemente las recomendaciones de Implemente las recomendaciones de seguridad para las aplicaciones basadas seguridad para las aplicaciones basadas en Weben Web
SeguridadSeguridad dede laslas aplicacionesaplicaciones WebWeb ValideValide todostodos loslos datosdatos dede entradaentrada Proteja la autenticación y la autorizaciónProteja la autenticación y la autorización Proteja los datos confidencialesProteja los datos confidenciales Utilice cuentas de servicio y proceso con Utilice cuentas de servicio y proceso con
los privilegios mínimoslos privilegios mínimos Configure la auditoría y el registroConfigure la auditoría y el registro Utilice métodos estructurados de Utilice métodos estructurados de
tratamiento de excepcionestratamiento de excepciones
DiezDiez principiosprincipios básicosbásicos parapara protegerproteger SQLSQL ServerServer
Instale los Service Packs más recientes
Ejecute MBSA
Configure la autenticación de Windows
Aísle el servidor y realice copias de seguridad de su contenido
Compruebe la contraseña del usuario sa
Limite los privilegios de los servicios de SQL Server
Bloquee los puertos en el servidor de seguridad
Utilice NTFS
Elimine los archivos de configuración y las bases de datos de ejemplo
Audite las conexiones
1
2
3
4
5
6
7
8
9
10
AgendaAgenda
IntroducciónIntroducción Protección de Exchange ServerProtección de Exchange Server Protección de SQL ServerProtección de SQL Server Seguridad en Small Business ServerSeguridad en Small Business Server Seguridad en la informaciónSeguridad en la información
ReconocimientoReconocimiento dede laslas amenazasamenazas
SmallSmall BusinessBusiness ServerServer desempeñadesempeña muchasmuchas funcionesfunciones dede servidorservidor
Amenazas externasAmenazas externas Small Business Server suele estar conectado Small Business Server suele estar conectado
a Interneta Internet
Amenazas internasAmenazas internas Todos los componentes de Small Business Todos los componentes de Small Business
Server se deben protegerServer se deben proteger
Muchas configuraciones son seguras de Muchas configuraciones son seguras de forma predeterminadaforma predeterminada
ProtecciónProtección contracontra amenazasamenazas externasexternas ConfigureConfigure políticaspolíticas dede contraseñacontraseña parapara
requerirrequerir elel usouso dede contraseñascontraseñas complejascomplejas Configure el acceso remoto seguroConfigure el acceso remoto seguro
Remote Web WorkplaceRemote Web Workplace Acceso remotoAcceso remoto
Cambie el nombre de la cuenta Cambie el nombre de la cuenta AdministradorAdministrador
Implemente las recomendaciones de Implemente las recomendaciones de seguridad para Exchange e IISseguridad para Exchange e IIS
Utilice un firewallUtilice un firewall
UsoUso dede unun firewallfirewall
CaracterísticasCaracterísticas dede firewallfirewall incluidas:incluidas: ISA Server 2000 en SBS 2000 y SBS 2003, Premium EditionISA Server 2000 en SBS 2000 y SBS 2003, Premium Edition Funciones básicas de firewall en SBS 2003, Standard Funciones básicas de firewall en SBS 2003, Standard
EditionEdition Considere la utilización de un firewall independienteConsidere la utilización de un firewall independiente
SBS 2003 puede comunicarse con un firewall externo SBS 2003 puede comunicarse con un firewall externo mediante UPnPmediante UPnP
ISA Server puede proporcionar protección en el nivel de ISA Server puede proporcionar protección en el nivel de aplicaciónaplicación
Internet Servidor de seguridad LAN
ProtecciónProtección contracontra amenazasamenazas internasinternas ImplementeImplemente unauna soluciónsolución antivirusantivirus Implemente un plan de copia de seguridadImplemente un plan de copia de seguridad Ejecute MBSAEjecute MBSA Controle los permisos de accesoControle los permisos de acceso Instruya a los usuariosInstruya a los usuarios No utilice el servidor como estación de No utilice el servidor como estación de
trabajotrabajo Proteja físicamente el servidorProteja físicamente el servidor Limite el espacio de disco de los usuariosLimite el espacio de disco de los usuarios Actualice el softwareActualice el software
AgendaAgenda
IntroducciónIntroducción Protección de Exchange ServerProtección de Exchange Server Protección de SQL ServerProtección de SQL Server Seguridad en Small Business ServerSeguridad en Small Business Server Seguridad en la informaciónSeguridad en la información
FunciónFunción yy limitacioneslimitaciones dede loslos permisospermisos dede archivoarchivo ImpidenImpiden elel accesoacceso nono autorizadoautorizado Limitan la capacidad de los Limitan la capacidad de los
administradoresadministradores No protegen contra los intrusos con No protegen contra los intrusos con
acceso físicoacceso físico El cifrado proporciona seguridad adicionalEl cifrado proporciona seguridad adicional
FunciónFunción yy limitacioneslimitaciones dede EFSEFS VentajaVentaja deldel cifradocifrado dede EFSEFS
Garantiza la privacidad de la informaciónGarantiza la privacidad de la información Utiliza una sólida tecnología de Utiliza una sólida tecnología de
claves públicasclaves públicas
Peligro del cifradoPeligro del cifrado Se impide todo acceso a los datos Se impide todo acceso a los datos
si se pierde la clave privadasi se pierde la clave privada
Claves privadas en los equipos clienteClaves privadas en los equipos cliente Las claves se cifran con un derivado de la contraseña Las claves se cifran con un derivado de la contraseña
del usuariodel usuario Las claves privadas sólo son seguras en la medida Las claves privadas sólo son seguras en la medida
que lo es la contraseñaque lo es la contraseña Las claves privadas se pierden cuando el perfil de Las claves privadas se pierden cuando el perfil de
usuario se pierdeusuario se pierde
ArquitecturaArquitectura dede EFSEFS
API de Win32
NTFS
Administrador de E/S
EFS.sys
AplicacionesAplicaciones
AlmacenamientoAlmacenamiento dede datosdatos cifradoscifrados enen discodisco
ModoModo dede usuariousuario
ModoModo dede núcleonúcleo
Crypto API
Servicio EFS
DiferenciasDiferencias dede EFSEFS entreentre laslas versionesversiones dede WindowsWindows WindowsWindows 20002000 yy laslas versionesversiones másmás recientesrecientes dede
WindowsWindows admitenadmiten elel usouso dede EFSEFS enen particionesparticiones NTFSNTFS
Windows XP y Windows Server 2003 incluyen Windows XP y Windows Server 2003 incluyen características nuevas:características nuevas: Se puede autorizar a usuarios adicionalesSe puede autorizar a usuarios adicionales Se pueden cifrar archivos sin conexiónSe pueden cifrar archivos sin conexión El algoritmo de cifrado triple-DES (3DES) puede El algoritmo de cifrado triple-DES (3DES) puede
reemplazar a DESXreemplazar a DESX Se puede utilizar un disco de restablecimiento de Se puede utilizar un disco de restablecimiento de
contraseñascontraseñas EFS preserva el cifrado sobre WebDAVEFS preserva el cifrado sobre WebDAV Se recomienda utilizar agentes de recuperación de datosSe recomienda utilizar agentes de recuperación de datos Mejora la capacidad de usoMejora la capacidad de uso
ImplementaciónImplementación dede EFS:EFS: cómocómo conseguirconseguir queque seasea correctacorrecta UtiliceUtilice políticaspolíticas dede grupogrupo parapara
deshabilitardeshabilitar EFSEFS hastahasta queque disponga de disponga de unauna implementaciónimplementación centralizadacentralizada
Planee y diseñe políticasPlanee y diseñe políticas Diseñe agentes de recuperaciónDiseñe agentes de recuperación Asigne certificadosAsigne certificados Utilice políticas de grupo para Utilice políticas de grupo para
implementarlaimplementarla
DemostraciónDemostración 33 ConfiguraciónConfiguración dede EFSEFS
ConfiguraciónConfiguración dede agentesagentes dede
recuperaciónrecuperación dede datosdatosCifradoCifrado dede archivosarchivos
DescifradoDescifrado dede archivosarchivosVisualizaciónVisualización dede informacióninformación dede EFSEFS
ResumenResumen dede lala sesiónsesión
ProtecciónProtección dede aplicacionesaplicaciones yy datosdatos Protección de Exchange ServerProtección de Exchange Server Protección de SQL ServerProtección de SQL Server Seguridad en Small Business ServerSeguridad en Small Business Server Seguridad en la informaciónSeguridad en la información
PasosPasos siguientessiguientes
1.1. MantenerseMantenerse informadoinformado sobresobre seguridadseguridad Suscribirse a boletines de seguridad:Suscribirse a boletines de seguridad:
http://www.microsoft.com/latam/technet/seguridad/http://www.microsoft.com/latam/technet/seguridad/boletines.asp boletines.asp
Obtener las directrices de seguridad de Microsoft Obtener las directrices de seguridad de Microsoft más recientes:más recientes:http://www.microsoft.com/latam/technet/seguridad/http://www.microsoft.com/latam/technet/seguridad/
2.2. Obtener aprendizaje de Obtener aprendizaje de seguridad adicionalseguridad adicional1.1. Buscar seminarios de aprendizaje en línea y Buscar seminarios de aprendizaje en línea y
presenciales:presenciales:http://www.microsoft.com/latam/technet/evento/default.asphttp://www.microsoft.com/latam/technet/evento/default.asp
1.1. Buscar un CTEC local que ofrezca cursos prácticos:Buscar un CTEC local que ofrezca cursos prácticos:http://www.microsoft.com/spain/formacion/default.asphttp://www.microsoft.com/spain/formacion/default.asp http://www.microsoft.com/latam/entrenamiento/default.asphttp://www.microsoft.com/latam/entrenamiento/default.asp
ParaPara obtenerobtener másmás informacióninformación SitioSitio dede seguridadseguridad dede MicrosoftMicrosoft
(todos(todos loslos usuarios)usuarios) http://www.microsoft.com/latam/seguridadhttp://www.microsoft.com/latam/seguridad
Sitio de seguridad de TechNet Sitio de seguridad de TechNet (profesionales de IT)(profesionales de IT) http://www.microsoft.com/latam/technet/seguridad/http://www.microsoft.com/latam/technet/seguridad/ http://www.eu.microsoft.com/spain/technet/http://www.eu.microsoft.com/spain/technet/
seguridad/default.aspseguridad/default.asp
Sitio de seguridad de MSDN Sitio de seguridad de MSDN (desarrolladores)(desarrolladores) http://msdn.microsoft.com/securityhttp://msdn.microsoft.com/security
(este sitio está en inglés)(este sitio está en inglés)
PreguntasPreguntas yy respuestasrespuestas