Windows 7 security
Download
1 / 43

download.microsoft - PowerPoint PPT Presentation


  • 144 Views
  • Uploaded on

Windows 7 Security. Paulo Dias IT Pro Evangelist Microsoft [email protected] http://blogs.technet.com/pdias. Fernando Guillot IT Pro Evangelist Microsoft [email protected] http://blogs.technet.com/guillot. Agenda. UAC y los Usuarios normales Bitlocker y Bitlocker ToGo

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'download.microsoft' - libitha


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
Windows 7 security
Windows 7Security

Paulo Dias

IT Pro Evangelist

Microsoft

[email protected]

http://blogs.technet.com/pdias

Fernando Guillot

IT Pro Evangelist

Microsoft

[email protected]

http://blogs.technet.com/guillot


Agenda
Agenda

  • UAC y los Usuarios normales

  • Bitlocker y BitlockerToGo

  • Applocker


UAC y los UsuariosNormales en Windows 7


El verdadero motivo de uac
El verdaderomotivo de UAC

  • El objetivoúltimo: todoscorriendocómousuario Normal

  • ¿Porqué?

    • Seguridad: Applicacionesvulnerables = máquina vulnerable

    • TCO: Los usuarios no podrán romper susmáquinas tan fácilmente

    • Manageability: Usuarios no podrán romper laspolíticas

  • ¿Cómollegamosallí?

    • Sencillo: Reprogramatodastusaplicacionesparaquefuncionen con usuariosNormales


Uac c mo tecnolog a de transici n
UAC cómotecnología de Transición

  • Cambiar miles de aplicaciones a la vezpuederesultarbastanteproblemático

  • UAC esunatecnología de transición

    • Es unamaneramás suave de llegar a los usuariosnormales

    • Muchas de lasaplicacionesque no funcionaríancómo un usuario normal seguiránfuncionando con UAC


Tipos de u suarios en vista y win7
Tipos de usuarios en Vista y Win7

  • El Administrador: llamadoAdministrador

  • Un Administrador: tuusuario con permisos de administrador

  • ModoAprobación: tuusuario con accesofácil a los privilegios de Administradores

  • Usuarios Normal: Usuario sin permisos de administrador

Mucho másseguro, peromenosconveniente, estoirá

Mejorando en lassiguientesversiones. Se tiende a que

Este usuario sea el de pordefecto

Cuentapordefecto


Uac en windows 7
UAC en Windows 7

Demo

  • Similar al UAC de Vista

    • Muchasinterrupciónes al usuarioelimindas, haciendoquetodo el mundolaspuedahacer

  • La configuarción de UAC son plenamentevisibles en el panel de control

    • En vista habíaqueentrar en el

      Registro


Porqu nos interrumpe uac
¿Porquénosinterrumpe UAC?

  • Windows solíaejecutartodo con cuentasAdministradoraspordefecto

    • Los programadoreshacían lo quefueseparaquesusprocesoshiciensen el trabajo lo másrápidoposible

    • Algunas de estascosaseranmanipulación de privilegios de recursos, algunasvecesincluso sin saberlo

  • Estoesciertoparadesarrolladoresdentro de MS y aplicaciones de terceros.


Porqu interrumpir
¿PorquéInterrumpir?

Estopermite al usuario

Realizaroperaciones

Elevadascuando

Lo necesite

Elevaciones de UAC

Lo quepuedehacer un

Admin

Lo quepuedehacer

Un Usuario normal

Cosasque un usuario

Normal necesitahacer

Mientras, nosinterrumpen

paraindicarqueestas

son operacionesno

queremosque se ejecuten

sin nuestroconsentimiento


Qu son estas elevaciones
¿Qué son estaselevaciones?

  • Algunas son necesarios

    • Instalar o desinstalar software

    • Cambiarconfiguración del Firewall

    • Cambiar la hora del sistema

  • Algunas no son necesarias

    • Usoincorrecto y innecesario de ramas de registro

    • Cambio de husohorario

    • Ver sin modificarconfiguraciones del sistema


¿Y CuantoInterrumpe?


Mitos de uac
Mitos de UAC

  • “Todo el mundodeshabilita UAC”

  • “Windows interrumpedemasiado”

  • Cuanto hay de mito? Cuanto de Realidad?


La mayor a de los usuarios deshabilita uac
¿La mayoría de los Usuariosdeshabilita UAC?

  • UAC estáhabilitadopara el 88% de los usuarios

  • Si tuestrategia de desarrolloesesperar a que UAC desaparezcatalvez sea hora de reconsiderar


Cuanto interrumpe uac
¿CuantoInterrumpe UAC?

  • MedirlasInterrupcionesporsesión

  • Sesión:

    • Empieza con el logon del usuarios

    • Acaba con el logoff del usuario o a las 24horas

    • La media de sesiónes de 8.2 horas


Interrupciones por sesi n en rtm sp1 consumer y enterprise
Interrupcionesporsesión en RTM, SP1, Consumer y Enterprise


Mejora de las aplicaciones en el tiempo
Mejora de lasaplicaciones en el tiempo


M s informaci n
Másinformación

  • Windows 7 Blog

    • General http://blogs.msdn.com/e7/

    • Especifico de UAChttp://blogs.msdn.com/e7/archive/2008/10/08/user-account-control.aspx


Protegiendotuentorno en Windows 7 con Bitlocker y Bitlocker to Go


Qu vamos a cubrir
¿Quévamos a cubrir?

  • Capacidades de BitLocker

  • Encrypt FAT data volumes and removable storage devices

  • Recuperación de datosencryptados


Bitlocker
BitLocker

+

  • Extiende la encriptación de los discos duros a los dispositivosexternos

  • Creación de políticas de grupoparaobligar al uso de encriptación y bloqueo de dispositivos no encriptados

  • Simplificar la instalación y configuración de la encriptación en el disco primario


Nuevas funcionalidades de bitlocker
Nuevasfuncionalidades de BitLocker

  • BitLocker

    • Mejora en la Instalación

    • Partición de 200Mb Oculta

    • Nuevo protector de Llaves

  • BitLocker To Go

    • Soportepara FAT

    • Protectores: DRA, passphrase, smart card and/or auto-unlock

    • Nuevas GPO’s paramejorar la gestión en organizaciones

    • DisponibilidadporEdición

    • Lector de Bitlocker To Go (paraversionesanteriores)


Trusted platform module tpm

Hard Disk

Requires at least two partitions

Separate partitions for System and OS

USB

System boot from USB 1.x and 2.x

USB read/write in pre-operating system environment

TPM

Version 1.2 o superior

www.trustedcomputinggroup.org/specs/TPM

www.trustedcomputinggroup.org/specs/PCClient

BIOS

TCG BIOS Specification

Physical presence interface

Memory overwrite on reset

Immutable CRTM or secure update

Trusted Platform Module (TPM)


DEMO

  • Encryptar un dispositivo en formateado con FAT

  • Configurar BitlockertoGo por políticas


Disk layout and key storage
Disk Layout and Key Storage

¿Dondeestá la Clave de Encriptación?

  • SRK (Storage Root Key) en el TPM

  • SRKencripta el VMK (Volume Master Key)

  • VMKencripta el FVEK (Full Volume Encryption Key) – usadopara los datosactuales de encriptación

  • FVEK y VMK sealmacenanencriptados en el volumen del SistemaOperativo

Volumen del S.O.

Contieneencriptado

  • El SistemaOperativo

  • El fichero de Paginación

  • Ficherostemporales

  • Datos

  • Fichero de Hibernación

VMK

FVEK

2

SRK

3

Volumen del SistemaOperativo

1

4

Volumen de Sistema

Contiene

MBR

Boot Manager

Boot Utilities

Sistema



Gestionando bitlocker en dispositivos externos
GestionandoBitLocker en dispositivosExternos


Escenarios de recuperaci n

Pérdida u Olvido de códigos

Actualización de los ficherosraiz

Hardware estropeado

Ataquedeliberado

Escenarios de recuperación


Metodos de recuperaci n

Develop Strategy

Active Directory

Data Recovery Agents

Windows Recovery Environment

Metodos de recuperación


DEMO

  • Recuperar un dispositivo FAT32

  • Gestionar y desencriptar un disco protegido con Bitlocker


Resumen
Resumen

  • Capacidades de Bitlocker

  • Encriptación de discos con BitLocker y Bitlocker To Go

  • Data Recovery Agent (DRA)


Applocker en windows 7
AppLockeren Windows 7


Problem tica con applicaciones
Problemática con Applicaciones

  • Aumento en el coste de soportedebido a

    • Applicaciones/Versiones no soportadas

    • Entornos no estandarizados

  • Problemas de licenciamiento de software

    • Applicaciones no lincenciadas

    • End user license agreements (EULA)

  • Problemas de hurto digital

    • Malware

    • Troyanos

    • Ingeniería social


Formas de protecci n
Formas de protección

  • Formastradicionales

    • Uso de UsuariosNormales, autenticaciónfuerte, …

    • Anti-virus, firewall, IDS, …

    • Control de acceso a datosporpolíticas

      • Access Control Policies (ACLs)

      • DRM, encriptación, …

  • Sin embargo…

    • Cualquier software queestéejecutandosepor un usuariotiene los mismospermisos a los datosque el propiousuario


Software restriction policies srp
Software Restriction Policies (SRP)

  • Los administradorescontrolan la execución en los entornos

    • Bloquear/Denegar un listado de aplicaciones no autorizadas

      • Posibleperopocoefectivo

    • Permitir un listado de Software válido

      • Aplicaciones, librerías, scripts, e instalacionesquepermitiremosejecutarse

      • Software no conocido se bloquearápordefecto


Srp en windows
SRP en Windows

  • Se introdujo en XP y en Windows 2003

  • Gestionado de maneracentralizadaporpolíticas

  • 4 tipos de reglas

    • Hash, Certificate, Path y Zona

  • Sin embargo…

    • Gestiondíficil

      • Los Hashes de lasreglas de Hash no sobreviven a aplicacionesactualizadas

      • Las reglas de certificados no utilizabaninformación del publicador

    • Difícil de probar en real

    • Implementado en modoUsuario, hacíaquefuese mucho menosefectivo


Applocker en windows 71
AppLockeren Windows 7

  • Mejora la gestión

    • Mejoraexperiencia de usuario

    • Generación de reglasautomáticas

    • SoporteparaAuditorías de políticas

    • SoporteparaPowerShell

  • Implementado en modo Kernel


Mejora de la gesti n nueva experiencia de usuario
Mejora de la GestiónNueva experiencia de Usuario


Mejora de la gesti n autogeneraci n de reglas

Microsoft Confidential

Mejora de la Gestión Autogeneración de Reglas


Mejora de la gesti n reglas de publicaci n

Microsoft Confidential

Mejora de la Gestión Reglas de Publicación


Mejora de la gesti n powershell
Mejora de la Gestión PowerShell

  • Descarga y análisis de Logs

  • Crearunanuevapolítica de prueba

  • Verqueficheroscorrerán

  • Aplicar la política

  • Get-AppLockerFileInformation

  • New-AppLockerPolicy

  • Test-AppLockerPolicy

  • Set-AppLockerPolicy

Escenario: Después de auditarunapolíticadurnate 2 semanas, queremosanalizar los logs paraajustar la política. De estamanerapodremosestarseguros a la hora de forzar la política en nuestraorganización


Mejora de la gesti n
Mejora de la Gestión

  • Implementaciónsimplificada con el modo Audit-Only

  • Excepciones

  • Condiciones de Usuariosdentro de Reglas

  • Mensajes de Error personalizados


Digital assets scenario with applocker

Digital Assets scenariowith AppLocker

demo


ad