1 / 48

Tecnologías para la protección de la información en Windows Server 2008

Tecnologías para la protección de la información en Windows Server 2008. David Cervigón Luna IT Pro Evangelist david.cervigon@microsoft.com http://blogs.technet.com/davidcervigon. Retos de la protección de datos. Descuidos y Desastres

avent
Download Presentation

Tecnologías para la protección de la información en Windows Server 2008

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Tecnologías para la protección de la información en Windows Server 2008 David Cervigón Luna IT Pro Evangelist david.cervigon@microsoft.com http://blogs.technet.com/davidcervigon

  2. Retos de la protección de datos • Descuidos y Desastres • ¿De verdad que esa carpeta que se llamaba Sysvol valía para algo? • ¿Verdad que al CPD no le puede pasar nada? • Robos y Pérdidas • Portátiles… y también servidores • Mantenimiento de la Privacidad • ¿El mail ese no era confidencial, no? • ¿Y eso que hace publicado en un blog? • ¡Anda!, la nómina de Jose…. • Esa foto, mejor que no la vea nadie

  3. Agenda • Windows Server Backup (WSB) • Active DirectoryRight Management Services (AD RMS) • BitLocker Drive Encryption (BDE) • EncryptedFileSystem (EFS)

  4. Windows Server Backup

  5. Backup en Windows Server 2008 • Completamente rehecho • Aplicación de Backup y Recovery en Windows Server • Proteje archivos, carpetas, volúmenes, datos de aplicaciónes y componetes del Sistema Operativo • Granularidad de recuperación desde el servidor completo a datos individuales o estado del sistema • NO reemplaza a NTBackup característica a característica • Diseñado para usuarios individuales y profesionales de IT • Simplicidad, Fiabilidad y Rendimiento • Se requiere una configuración mínima, acompañada de una experiencia pasada en asistentes • Basado completamente en la tecnología VSS • Tecnología de backup eficiente basada en imágenes a nivel de bloque • Optimizado para discos • También hace copias de seguridad a carpetas de red y DVDs • Sin soporte a cinta

  6. Interfaz Gráfica y Línea de Comandos

  7. Configuración típica • Disco externo conectado (1394/USB, solo de tipo fijo, no pendrives) • Windows Backup Instalado (Componente Opcional) • Backup regular planificado

  8. Características del Backup y de la Recuperación

  9. Cómo funciona el Backup • Paso 1 • WSB toma una instantánea de todo el volumen que incluye todos los “writers” que tienen un componente en ese volumen • Paso 2 • WSB lee a nivel de bloque (utilizando APIs a nivel de volumen) cada bloque del disco origen y los copia al disco objetivo • Paso 3 • En el disco objetivo, los bloques se escriben en un .VHD creado por WSB. Se crea un VHD por cada volumen objetivo • Se pueden montar en una máquina virtual, pero NO es una solución P2V. Una VM no arrancará a partir de estos VHDs • Paso 4 • Después de que la trasferencia se completa. El motor de Backup crea una instantánea del disco objetivo. • Aunque el VHD se sobrescriba, WSB mantendrá múltiples versiones utilizando instantáneas. • Si el destino es una carpeta compartida, la instantánea no se crea

  10. Funcionalidades de Recovery – Matriz de Soporte • NOTE : • TheSystemRecovery and theSystemStateRecoveryfeatureswouldbeavailableonlyon a backupthatincludesallcriticalvolumes. • Criticalvolumes are thosethathave a OS componentresidingonthem. • OS components are thosecomponentsreportedbySystemStateWriters. • UI has directoptiontoincludeallcriticalvolumes. CLI has switch "-allcritical" toautomaticallyincludeallcriticalvolumes. • A scheduledbackupwouldautomaticallyincludecriticalallvolumes in thesystem. • SystemStaterecovery - Supportedonlytothesame OS installation. Notsupportedtoreimaged OS oralternate h/w

  11. Como funciona la recuperación • Recuperación de Volúmenes • Se utiliza cuando ocurre una corrupción o desastre a nivel de volumen (ej. reemplazo de un disco) • Como funciona • El usuario especifica el lugar donde reside la copia de seguridad • WSB lee el VHD de la instantánea que se creo tras finalizar la copia de seguridad • WSB leerá el VHD bloque a bloque y los escribirá en el disco destino • Recuperación de Archivos o Carpetas • Borrados accidentales, fallos de aplicaciones, recuperación de datos, etc. • Cómo funciona: • El usuario especifica el lugar donde reside la copia de seguridad • WSB lee el VHD de la instantánea que se creo tras finalizar la copia de seguridad • WSB monta el VHD como un volumen, o visible en el Explorer para los usuarios • Después de que el volumen está disponible y se ha montado el sistema de archivos, WSB permite a los usuarios la recuperación de archivos y carpetas mediante un dialogo de exploración en la interfaz gráfica

  12. Windows Server Backup

  13. Active DirectoryRights Management Server

  14. ¿Que es RMS? Tecnología para salvaguardar información confidencial y sensible

  15. Protegido por RMS Politicas de acceso y uso Datos Cifrados ¿Cómo proteje la información RMS? • RMS protege la información mediante: • Cifrado fuerte • Criptografía Simétrica y Asimétrica • Control de Acceso • Usuarios y Grupos • Condiciones temporales • Aplicaciones “sancionadas” • Políticas de uso de Aplicaciones • Solo lectura, Editar, Exportar, Imprimir, Salvar… • Auditoría de Acceso • El servidor guarda las peticiones de acceso a la información protegida • La protección de RMS es persistente • En reposo, en movimiento y en uso • Viaja con el archivo/datos a través de la red, en el medio de almacenamiento, en el email, etc. • Controlado por políticas impuestas por el departamento de IT y/o el autor de la información

  16. SQL Ejemplo de flujo de de trabajo protegido por RMS • La primera vez que el autor usa RMS recibe unas credenciales específicas del servidor. También puede recibir políticas de protección definidas por IT Base de Datos SQL Servidor RMS Directorio Activo • El autor define/aplica la política de protección para los datos; La aplicación usa las APIs cliente para cifrar los datos y generar la politica; La aplicación guarda los datos cifrados junto con la política. 4 1 • El autor distrubuye la información RMS Client API RMS Client API • El receptor abre el fichero; La aplicación llama al servidor RMS que autoriza al usuario y le expide una “licencia de uso” RMS Enabled App RMS Enabled App 3 2 5 5. La aplicación muestra la información y aplica los derechos; El cliente de RMS garantiza que el entorno esta protegido Autor Receptor

  17. Novedades de RMS en Windows Server 2008 • Despliegue • Soporte de Auto Enrollment • Un role de Windows Server 2008, con instalación automática de los pre-requisitos de instalación • No hay limites en la validez de los certificados • Sin necesidad de establecer comunicación directa con Microsoft • Integración con AD DS (AutomaticServiceDiscovery para clientes de RMS) • Gestión y Administración • Asistente de Configuración • Consola basada en MMC • Todas las acciones de la MMC son scriptables • Posibilidad de administración remota (HTTP/SOAP) • Generación de informes a partir de la base de datos de logs • Roles Administrativos • Protección de la colaboración externa mediante ADFS • Integración de RMS con ADFS para soportar identidades federadas • Distribución de plantillas Instalación Periodos de validez de los certificados

  18. Usuarios de Dominios de Confianza Ambas organizaciones han de tener RMS desplegado Intercambio de certificados de RMS en un o dos sentidos para habilitar la confianza Agregar las cuentas de los usuarios externos en tu AD Permitir en los Firewallls el tráfico SSL entrante a los servidores RMS internos Puede utilizarse autenticación basada en certificados X.509 Puede usarse VPN para mayor seguridad, a costa de perder flexibilidad Cuentas de AD de Extranet Servicios en Hosting Usar RMS para publicar a usuarios externos que tengan Windows Live IDs Existen soluciones disponible por parte de Partners Colaboración externa protegida por RMS Permite colaboración en los dos sentidos aunque solamente una de las organizaciones tenga un servidor RMS Ambas organizaciones tienen servidores de federación (ADFS) RMS Federado enWS08

  19. Active DirectoryRights Management Server

  20. BitLocker Drive Encryption

  21. BitLocker Drive Encryption • Escenarios de uso • Compromiso físico o robo de un servidor y/o sus discos duros • Securización de los datos de un equipo configurado que se va a enviar a su destino • Decomisado o reciclado de servidores • Robo de datos por clonaciones de disco durante paradas de mantenimiento • Solución: BitLocker habilitado en un Servidor con TPM • Autenticación Multifactorial • Múltiples opciones de recuperación • Herramientas de gestión • Múltiples mecanismos de despliegue

  22. Requerimientos de BitLocker • Hardware TPM (TrustedPlatform Module) • El sistema debe tener un TrustedPlatform Module (TPM) v1.2 • La plataforma de hardware debe estar certificada con el Windows Server 2008 Logo. • Hardware no-TPM • La BIOS del sistema debe soportar la USB Mass Storage DeviceClass, incluyendo la lectura de ficheros de una unidad Flash USB en la fase de arranque previa al sistema operativo • Configuración de Discos: al menos dos volúmenes NTFS • Volumen de arranque del Sistema Operativo • Volumen del sistema – debe ser la partición activa y tener al menos 1.5 GB

  23. Nuevas funcionalidades en Windows Server 2008 • Componente opcional • Tiene que ser instalado a través del Server Manager o por línea de comandos • Soporte a volúmenes de datos • Puede protegerse cualquier volumen que no contenga el SO en ejecución • Requiere que Bitlocker esté activado en el volumen del SO • Crea una “auto-unlockkey” y una password de recuperación • Nuevo autenticador soportado: TPM+USB+PIN • Soporte de UEFI (solo 64-bit)

  24. Arquitectura de BitLocker™ Raiz estática de confianza de los componentes de arranque

  25. 2 1 FVEK DATA Claves y Protectores ¿Donde esta la clave de cifrado? Los datos de cifran con la FVEK (Full-Volume Encryption Key) (Full-Volume Encryption Key) Windows OS Volume Active(System)Partition

  26. 3 4 TPM VMK 2 1 FVEK DATA Claves y Protectores ¿Donde esta la clave de cifrado? Los datos de cifran con la FVEK La FVEK se cifra con la VMK (Volume Master Key) y se almacena en los metadatos del volumen. La VMK es cifrada por uno o mas protectores de la clave, y se almacena en los metadatos del volumen. El Trusted Platform Module no descifrará la VMK si la integridad del sistema falla. (Full-Volume Encryption Key) Volume Meta-Data(Existen tres copias redundantes)

  27. 3 4 TPM VMK 2 1 FVEK DATA Claves y Protectores (“Autenticadores”) ¿Donde esta la clave de cifrado? Los datos de cifran con la FVEK La FVEK se cifra con la VMK (Volume Master Key) y se almacena en los metadatos del volumen. La VMK es cifrada por uno o mas protectores de la clave, y se almacena en los metadatos del volumen. El Trusted Platform Module no descifrará la VMK si la integridad del sistema falla. Llave USB(Recuperación o no-TPM TPM+PIN TPM+USB 123456-789012-345678- Recovery Password(48 Digitos)

  28. Autenticadores disponibles • Defecto: Trusted Platform Module (TPM) • TPM + Clave de Arranque USB1 • TPM + PIN • Clave de arranque USB1,2,3 • Clave de recuperación USB3,4 • Recovery Password Numérica4 • Windows Server 2008: TPM + USB + PIN Una clave de arranque con TPM es diferente a una sin TPM Utilizada solamente en equipos sin TPM Una clave de arranque no-TPM y una clave de recuperación son exactamente lo mismo. No usada normalmente, solo para recuperación

  29. WinRE • Conjunto de herramientas para la solución de problemas de arranque • Contiene los drivers y herramientas necesarias para desproteger un volumen protegido por BitLocker • En el entorno de WinRE, se solicita una credencial de recuperación en un equipo con BitLocker habilitado

  30. IMPORTANTE: Planificación de BitLocker • Entender • El entorno • Sus requerimientos y necesidades • Estrategias • De hardware • De despliegue y decomisado • De recuperación • Procesos para el usuario final • Situaciones locales y remotas • Anticipar los posibles escenarios • Perdida u olvido de claves • Fallos de disco • Fallos de la placa base o del modulo TPM • Actualizaciones de BIOS • Ataques deliberados

  31. Preparación de AD para almacenar información de recuperación de BitLocker • Por defecto, no se guarda información de recuperación en Directorio Activo • Asegurarse de que el esquema ha sido extendido y que se ha concedido los derechos de acceso apropiados para hacer la copia de seguridad • Todos los DCs deben ser al menos Windows Server 2003 SP1 • En Windows Server 2008 el esquema ya tiene las extensiones necesarias • http://go.microsoft.com/fwlink/?LinkId=78953 • Información que se guarda para cada computerobject: • Contraseñas de Recuperación de 48 dígitos • Paquete de claves de datos: Con estas claves puede descifrarse porciones de un volumen en caso de que el disco este severamente dañado • Solamente hay una propietario de la contraseña TPM por equipo • Puede haber más de una contraseña de recuperación por equipo

  32. Configuración de Bitlocker mediante Políticas de Grupo • GPOs para BitLocker: • Habilitar la copia de reguridad de BitLocker al Directorio Activo • Configuración del Panel de Control: habilitar las opciones avanzadas de arranque, opciones de recuperación, configurar la carpeta de recuperación, etc. • Configurar el método de cifrado • Configurar el perfil de validación TPM • Habilitar la compatibilidad FIPS (requerido antes de configurar las claves de BitLocker • Ocultar la letra de la partición del sistema en la interfaz gráfica •  GPOs para los servicios TPM: • Habilitar la copia de seguridad de TPM a Directorio Activo • Configurar la lista de comandos TPM bloqueados

  33. Metodos de Configuración • Por línea de comandos: manage-bde.wsf • Herramienta diseñada para configuración de BitLocker en máquinas una a una, o para administrarlas una vez BitLocker ha sido habilitado • Localizada en %systemdrive%\Windows\system32 • Para despliegues a pequeña escala (<25 equipos) • Scripts con los proveedores WMI de BitLocker y TPM • Script de ejemplo disponible (EnableBitLocker.vbs) • Adecuado para grandes despliegues

  34. Herramientas para BitLocker • BitLocker Drive PreparationTool • Particiona correctamente una instalación existente de Windows para uso de BitLocker sin reinstalar ni restaurar imágenes • Interfaz por línea de comandos scriptable para despliegues personalizados • Disponible para clientes corporativos • BitLockerRecoveryPasswordViewerfor Active Directory • Permite localizar y ver las contraseñas almacenadas en Directorio Activo • Busca contraseñas de recuperación en todos los dominios de un bosque • BitLockerRepairTool • Ayuda a recuperar datos de un volumen cifrado de un disco severamente dañado • Se requiere una contraseña de recuperación para descifrar los datos (es decir, NO es una “puerta trasera”)

  35. BitLocker Drive Encryption

  36. EncryptedFileSystem

  37. EFS • Escenarios de uso • Protejer los datos sensible de usuarios contra un ataque online • Proteger documentación móvil en carpetas compartidas • Proteger documentos compartidos entre pequeños grupos de trabajo • Solución: Encrypting File System • Protección de información sensible por usuario • Soporte de almacenamiento externo de la clave con autenticación multifactorial • Múltiples opciones de recuperación y despliegue • Integración con PKI

  38. Cifrado Simetrico (e.g. DES) *#$fjda^j u539!3t t389E *&\@ 5e%32\^kd Clave siméticacifradaasimétricamente con la clave publica del usuario (e.g., RSA) “Sobre Digital” Clave Pública del usuario Clave siméticacifradaasimétricamente con la clave publica del agente de recuperación “SobreDigital” Clave de sesión generada aleatoriamente (simética) Clave pública de otros receptores o agentes de recuperación RNG Cifrado EFS (doble cifrado) FicheroCifrado La combinación de la caja fuerte es...

  39. Descifrado Simétrico La combinación de la caja fuerte es... Clave de sesión simétrica Descifrado simétrico de la clave se sesión Clave privada del usuario o agente de recuperación “Sobre Digital” Descifrado EFS *#$fjda^j u539!3t t389E *&\@ 5e%32\^kd

  40. Como se obtiene las claves de cifrado asimétrico del usuario para EFS El usuario intenta cifrar un fichero Genera un certificado autofirmado, si lo permite la politica y acorde a la longitud de clave especificada en ella Solicitud automática de un certificado apropiado según la plantilla especificada en la política Se comprueba si en el almacén hay un certificado apropiado. Se hace un Single Sign On o se solicita un tarjeta inteligente

  41. Nuevas funcionalidades en Windows Server 2008 • Soporte de Smartcards • Las claves de usuario y de recuperación pueden almacenarse en una tarjeta inteligente • Cifrado de ficheros Offline por usuario • Cifrado del Pagefile • Utiliza una clave de cifrado efímera. • El pagefile es ilegible tras el reinicio • Asistente para gestión de claves y recuperación de datos • Interfaz mejorada en las Políticas de Grupo

  42. Despliegue de EFS • Está fuertemente recomendado hacer el despliegue con la PKI de Microsoft • La CA tiene que emitir certificados RSA • Crear y publicar las plantillas apropiadas • Autoenrollment o manual • KRA (Key recoveryAgent) • Configurar el “keyroaming” si es necesario • CredentialRoaming vs. Perfiles de usuario móviles • Expedir un certificado de Data RecoveryAgent (DRA) • Configurar el DRA y otras opciones de las Políticas de Grupo • Recomendado “flushonlock” y “lockonsmartcardremoval” • Ver la documentación del Data EncryptionToolkit

  43. Uso de EFS

  44. Referencias • Windows Server Backup • Windows Server 2008 Backup and Recovery Step-by-Step Guide • RMS • Active Directory Rights Management Services • BitLocker • Windows BitLocker Drive Encryption Design and Deployment Guides • BitLocker Drive Encryption • Configuring Active Directory to Back up Windows BitLocker Drive Encryption and Trusted Platform Module Recovery Information • EFS • EncryptingFileSystem

  45. Recursos TechNet • TechCenter de Windows Server 2008 http://www.microsoft.com/spain/technet/prodtechnol/windowsserver/2008/default.mspx • Próximos webcasts en vivo http://www.microsoft.com/spain/technet/jornadas/default.mspx • Webcasts grabados sobre Windows Server http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx?id=1 • Webcasts grabados otras tecnologías Microsoft http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx • Foros técnicos http://forums.microsoft.com/technet-es/default.aspx?siteid=30

  46. Recursos TechNet • Registrarse a la newsletter TechNet Flash http://www.microsoft.com/spain/technet/boletines/default.mspx • Obtenga una Suscripción TechNet Plus http://technet.microsoft.com/es-es/subscriptions/default.aspx

  47. El Rostro de Windows Server está cambiando. Descúbrelo en www.microsoft.es/rostros

  48. David Cervigón Luna IT Pro Evangelist david.cervigon@microsoft.com http://blogs.technet.com/davidcervigon Preguntas

More Related