Windows XP Service Pack 2

con tecnologías de seguridad avanzadas Introducción

Windows XP Service Pack 2

con tecnologías de seguridad avanzadas Introducción

AgendaAgenda

I.- Implementación de Windows XP SP2II.- Introducción (Nuevas

funcionalidades)III.-Protección de trabajo en red.IV.-Protección de manejo en e-mailV.-Seguridad en servicios de BrowsingVI.-Mantenimiento de Desktop

I.- Instalación de Windows XP SP2I.- Instalación de Windows XP SP2

Requisitos

Evaluando el entorno Evaluando el entorno

II.-Introducción (Nuevas funcionalidades) II.-Introducción (Nuevas funcionalidades)

III.- Protección de Red (Windows Firewall, RPC)III.- Protección de Red (Windows Firewall, RPC)

Protección de memoria (Ataques buffer

overruns) DEP (Data execution prevention)

IV.- Protección Manejo de email (AES) IV.- Protección Manejo de email (AES)

Email / IM Attachments

Objetivos y beneficios al cliente Proveer un mecanismo de sistema consistente para que las aplicaciones detecten archivos adjuntos sospechososExperiencia del usuario mejorada al momento de decidir si los archivos adjuntos son “confiables”.

Qué estamos haciendoCrear una nueva API pública para que el manejo de los attachments sea más seguro (Attachment Execution Services)Por defecto no confiar en los tipos de attachment menos seguros. Outlook Express, Windows Messenger, Internet Explorer han cambiado para usar la nueva API Mayor seguridad en la opción de “Visualización Previa”

Impacto en la compatibilidadUse la nueva API en sus aplicaciones para mejorar la experiencia del usuario, y mejore al determinar las implicancias en seguridad del contenido

Mejoras en Download, Attachment, y Authenticode

Mejoras en Download, Attachment, y Authenticode

V.- Mejora de seguridad de Browsing V.- Mejora de seguridad de Browsing Exploración en la Web

Objetivos y beneficios al cliente Una mejor exploración de Internet en forma más segura y confiable

Qué estamos haciendoBloqueando la máquina local y las zonas de intranet locales Mejorar las notificaciones para ejecución o instalación de aplicaciones y controles ActiveXHTML en la máquina Local no será capaz de usar scripts sobre controles ActiveX inseguros o accesos a datos a través de dominios en la Zona de Seguridad de la máquina Local Bloqueo de desconocidos, Controles ActiveX no firmadosArchivos encontrados con alguna mala referencia o encabezados-mime extraviados y archivos con ciertas extensiones pueden ser bloqueados Las ventanas Pop-up Serán desactivadas hasta que el usuario permita su visualización

Impacto en la compatibilidadCerciórese de la compatibilidad por defecto en las aplicaciones Web

Internet Explorer Add-on Management Internet Explorer Add-on Management

Add-ons incluídos:• Browser help objects• ActiveX controls• Toolbar extensions• Browser extensions

Internet Explorer Pop-up Blocker Internet Explorer Pop-up Blocker

Internet Explorer Untrusted Publishers Mitigations Internet Explorer Untrusted Publishers Mitigations

¿Qué es Untrusted Publishers Mitigations?

Esta característica permite al usuario bloquear todo el contenido firmado por un editor en particular sin que se abra el cuadro de diálogo Authenticode. Esto impide que se instale el código del editor bloqueado. Esta función también bloquea la instalación de código con firmas no válidas.

Mantenimiento de Desktop Mantenimiento de Desktop

Filter for Add or Remove Programs ¿Qué es Filter for Add or Remove

Programs? El filtro para Agregar o quitar programas

(Add or Remove Programs) permite a los usuarios visualizar sólo las actualizaciones de los programas que están instalados en el ordenador, en lugar de combinar una lista de actualizaciones y programas instalados.

Microsoft Windows Update Services and Automatic UpdatesMicrosoft Windows Update Services and Automatic Updates

                                                                                                                                                                                                                                     

                                        

Soporte para dispositivos Wireless Bluetooth incluido Soporte para dispositivos Wireless Bluetooth incluido

Windows Security Center Windows Security Center

Security Center es un nuevo servicio de Windows XP Service Pack 2 que proporciona una localización central para la configuración de seguridad recomendada por Microsoft, aprendiendo más acerca de la misma y garantizando que el ordenador del usuario está actualizado. Puede utilizar Security Center haciendo doble click en el icono Security Center del Panel de control.

¿Preguntas ?¿Preguntas ?

© 2004 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

ANEXO 1 ANEXO 1 NUEVAS FUNCIONALIDADES:

SEGURIDAD: Puntos de Mejora del Windows Firewall : Activado por defecto y

extendido para proteger la PC mientras se inicia y se apaga.

Nuevo Servicio de Ejecución de Ficheros Adjuntos (Attachment Execution Service): Determina si los ficheros son seguros para abrirse/ejecutarse cuando están adjuntos a mensajes del Outlook Express o Windows Messenger, o son abiertos vía Internet Explorer.

Mejoras de seguridad en el Internet Explorer: Cambios a nivel de código en el IE que ayudarán a facilitar la protección contra ciertos tipos de exploits - p.e. restricciones de seguridad aplicadas al HTML hospedado en el disco duro y procesado por el IE.

Mejoras en la Actualización Automática (Automatic Update): En el primer arranque después de la instalación, es altamente recomendable habilitar las actualizaciones automáticas. Están optimizadas para la utilización en entorno con conexión sin banda ancha y para descargar las actualizaciones de una forma más eficiente.

ANEXO 1ANEXO 1

ADMINISTRACION: Windows Security Center (Centro de Seguridad de Windows): El

Panel de Control añade un applet de configuraciones de seguridad que reúne, en un sólo sitio, todos los informes sobre los niveles de seguridad en curso, en ese momento, en el PC.

Centralización de la Gestión del Windows Firewall: Más opciones de configuración para los administradores - políticas de grupo, línea de comandos, soporte para multicast, y setup desatendido.

Soporte para múltiples perfiles en el Windows Firewall: Permite múltiples perfiles dentro del firewall - p.e. Uno cuando la máquina está conectada a la red corporativa, y otro para cuando no lo está.

Nuevo cliente de Wireless LAN: Actualización directa con la carpeta de Conexiones de Red y con el sistema de seguimiento por iconos, para conectarse y desconectarse de forma más sencilla de los wireless "hotspots“.

ANEXO 1ANEXO 1 MEJORAS AL USUARIO:

Bloqueador de Pop-Up en el Internet Explorer: Servicio que bloquea los pop-up y pop-under de Explorer.

Lista de excepciones del Windows Firewall: El Administrador puede añadir aplicaciones a la "lista de excepciones" del WF habilitando puertos necesarios para determinadas aplicaciones. 

Actualización de Bluetooth: Mayor facilidad para conectar los últimos dispositivos compatibles con Bluetooth como teclados, teléfonos móviles o PDAs.

Windows Media 9 Series: Mayor seguridad y consistencia a la hora de disfrutar de la música y el video con la instalación del último Windows Media Player.

Movie Maker 2.1: proporciona mejoras de estabilidad sobre la V 1.0, además de mejoras clave como el soporte para USB2.

SmartKey Wireless Setup: Simplifica la implantación de redes wireless seguras. USB Flash Drive o cualquier otro medio portable para transferir configuraciones y claves de seguridad entre PCs y dispositivos. Mayor facilidad para añadir dispositivos conectados a la red sin UI, como p.e. impresoras.

ANEXO 2ANEXO 2

1.- Administrador de programas adicionales

Hay un nuevo elemento en el menú de Herramientas llamado Administrador de programas adicionales. Esto proporciona a los usuarios un medio directo de visualizar, controlar y deshabilitar programas de software adicionales, incluyendo objetos de ayuda para el navegador, controles ActiveX, extensiones de la barra de herramientas y extensiones del navegador que se ejecutan en el mismo. Los administradores de sistemas pueden proporcionar una lista de programas adicionales autorizados o deshabilitados a los usuarios a través de las Políticas de Grupos.

2.- Detección de fallas en programas adicionales

Los programas adicionales son una causa frecuente de problemas de estabilidad y confiabilidad con el Internet Explorer. Esta función detecta el momento en que un programa adicional afecta al Internet Explorer, da aviso al usuario y ofrece maneras sencillas de deshabilitar el programa adicional que provocó la falla.

3.- Zonas de seguridad mejoradas

Otras mejoras son las de las zonas de seguridad, la zona de Internet, y la zona local de la máquina, que desde un principio han sido utilizadas por el Internet Explorer. Todas las zonas cuentan con diferentes grados de seguridad y protección. La zona local de la máquina era una de las zonas más libres. Anteriormente, algunos agentes maliciosos externos han intentado penetrar desde la zona de Internet a esta zona, donde tienen acceso a prácticamente todo el sistema e incluso a los contactos del usuario del Outlook y al disco duro. La zona local de la máquina ahora está totalmente "cerrada" como parte de la zona de sitios restringidos para evitar la ejecución de escrituras maliciosas y descargas Web dañinas.

ANEXO 2ANEXO 2

Windows XP Service Pack 2 se asegura de que las prácticas en cada una de estas zonas sean limpias, y de que las barreras entre zonas sean fuertes, de manera que no es fácil que los intrusos pasen de una zona a otra fácilmente.

4.- Mejoras adicionales en Internet Explorer

Tanto la interfaz del usuario como el Internet Explorer cuentan ahora con varias mejoras adicionales de seguridad. Por ejemplo, el Internet Explorer ahora se asegura de que las ventanas que presentan mensajes de seguridad estén siempre a la cabeza del "orden Z" (EL orden en que las ventanas son presentadas al usuario) y no puedan ser cubiertas por otras ventanas. Esto reduce las probabilidades de ataques sorpresivos por parte de sitios maliciosos de la Web.

ANEXO 3ANEXO 3Nueva funcionalidad que se ha añadido a esta característica en Windows XP Service

Pack 2

Internet Explorer Add-on Management

Los usuarios pueden, con ayuda de Internet Explorer Add-on Management, ver y controlar con más detalle que antes la lista de complementos que Internet Explorer puede cargar. También muestra la presencia de algunos complementos que no se veían antes y que podrían ser muy difíciles de detectar. Esos complementos podrían ofrecer funcionalidades y servicios no deseados y, en algunos casos, podrían suponer un riesgo para la seguridad.

Por ejemplo, un usuario podría instalar sin darse cuenta un complemento que registra secretamente toda la actividad web e informa a un servidor central. Antes se podría haber necesitado software especializado y profundos conocimientos técnicos para identificar y eliminar semejante complemento. Internet Explorer Add-on Management ofrece una forma más sencilla de detectar y deshabilitar esos complementos.

Los complementos incluyen:

Objetos de ayuda al navegador. Controles ActiveX. Extensiones de la barra de herramientas. Extensiones del navegador. Los complementos pueden instalarse desde varias ubicaciones y de diversos modos,

incluyendo: Descarga e instalación mientras se visualizan páginas web. Instalación por parte del usuario en forma de programa ejecutable. Como componentes preinstalados del sistema operativo. Como complementos preinstalados que el sistema operativo incorpora.

Anexo 4Anexo 4Características de Pop-up Manager:

Valores predeterminados Pop-up Manager está desactivada de forma predeterminada. Hay restricciones

en el tamaño y la posición de las ventanas pop-up, independientemente de la configuración de Pop-up Manager: las ventanas pop-up no pueden abrirse con un tamaño mayor que el área de escritorio visible.

Cuando esta funcionalidad está activada, se bloquean las ventanas pop-up automáticas y de fondo, pero las ventanas que se abren como resultado de un click del usuario siguen abiertas como siempre. Los sitios de las zonas Sitios de confianza e Intranet local nunca tienen bloqueadas sus ventanas pop-up, pues se consideran seguras. Esto puede configurarse en la ficha Seguridad del cuadro de diálogo.

Opciones de Internet. Activación de Pop-up Manager Puede activar Pop-up Manager de tres formas diferentes.1. Petición de datos en la primera ocurrencia.2. Un indicador aparece antes de que se abra la primera ventana pop-up,

preguntando al cliente si desea activar Pop-up Manager.3. El menú Herramientas.

En Internet Explorer, en el menú Herramientas, haga click en Pop-up Manager y, después, en Block Pop-up Windows.Opciones de Internet.En Internet Explorer, en el menú Herramientas, seleccione Opciones de Internet, haga click en la ficha Privacidad y, después, en Block pop-up windows. A continuación ya puede hacer click en Opciones para configurar Pop-up Manager.

Anexo 4Anexo 4 Opciones avanzadas.

Internet Explorer ofrece una configuración avanzada para Pop-up Manager.

Lista de sitios web permitidos

Puede añadir sitios a la lista Allow. Cualquier sitio de esta lista puede abrir ventanas pop-up.

Bloquear todas las ventanas pop-up

Pop-up Manager permite que los sitios abran ventanas pop-up cuando el usuario hace click en un vínculo. Esta configuración modifica el comportamiento bloqueando las ventanas que están abiertas a partir de un vínculo. Si está activada esta configuración, puede permitir la apertura de ventanas pop-up pulsando la tecla ALT al mismo tiempo que hace click en el vínculo.

Acción de una tecla

Cuando Block All Pop-up Windows está activada, puede permitir la apertura de ventanas pop-up pulsando la tecla ALT al mismo tiempo que hace click en el vínculo.

Configuración del sonido

Puede activar o desactivar la reproducción de un sonido por parte de Pop-up Manager cuando una ventana pop-up está bloqueada por la configuración avanzada de Opciones de Internet. También puede cambiar el sonido que se reproduce. Para ello, seleccione Inicio, Panel de control y haga doble click en el icono Sonidos y dispositivos de audio.

Zonas

Los clientes pueden ampliar el ámbito de Pop-up Manager para incluir las zonas Intranet local o Sitios de confianza en la ficha Seguridad de Opciones de Internet.

Anexo 5Anexo 5¿Qué son Windows Update Services y Automatic Updates?

Windows Update Services (anteriormente Software Update Services) permite a los administradores afinar y automatizar el proceso de implantación de actualizaciones críticas en los ordenadores cliente que ejecutan Microsoft Windows XP Professional o Microsoft Windows 2000 Professional, así como en los ordenadores con Windows 2000 Server y Windows Server 2003.

Automatic Updates conecta periódicamente con Internet o con un servidor Windows Update Services de la red corporativa. Una vez que descubre nuevas actualizaciones aplicables al ordenador, Automatic Updates puede configurarse para instalar automáticamente todas las actualizaciones (lo más recomendable) o para notificar al administrador del ordenador o a los usuarios cuyos ordenadores están configurados para recibir notificación. Una vez que el administrador selecciona las actualizaciones que deben descargarse, Automatic Updates descarga e instala esas actualizaciones

Windows Update Services incluye los siguientes componentes:

Windows Update. Es el sitio web de Microsoft que incluye todas las actualizaciones de Microsoft disponibles, por producto o tipo de actualización. Los cambios introducidos en Windows Update se describen posteriormente en este documento.

Microsoft Software Update Services. Es el componente de servidor Windows Update Services para la administración y distribución de actualizaciones.

Automatic Updates. Es el componente cliente para que los ordenadores puedan conectar directamente con Windows Update o con un servidor que ejecuta Windows Update Services para recibir las actualizaciones. El componente Automatic Updates está incluido en Windows 2000 Service Pack 3 y versiones posteriores, Windows XP y versiones posteriores, y Windows Server 2003.