Seguridad en Windows Vista Beta 2

1
Seguridad en Windows Vista (Beta 2)

• David Cervigón Luna
• Microsoft IT Pro Evangelist
• davidce_at_microsoft.com
• http//blogs.technet.com/davidcervigon

2
Agenda

• Calendario de Windows Vista
• Introducción
• Arranque Seguro
• Ejecución Segura
• Comunicaciones Seguras
• Mantener la Seguridad

3
Calendario Windows Vista
H2 2006
Sept 2003 Involucración de los desarrolladores
April 2005 Involucración de los OEM IHV
July 2005 Involucración de los IT Pros
Involucración del Usuario Final
4
Disponibilidad de la Beta

• Community Technical Previews (CTP) mensuales
• Disponibles a través de
• Programa oficial de Beta Testing
• http//connect.microsoft.com/
• Suscriptores de TechNet
• http//www.microsoft.com/spain/technet/recursos/cd
  /default.mspx
• Suscriptores de MSDN
• http//www.microsoft.com/spanish/msdn/suscripcion/
  default.asp
• La Beta 2 será pública. Apúntate ya para ir
  recibiendo información en
• The Beta Experience
• http//www.microsoft.com/betaexperience/eses/defau
  lt.aspx
• Mas información en nuestro blog
• http//blogs.technet.com/windowsvista

5
Problemas de seguridad en el puesto de trabajo.

• Arranque inseguro
• Quién lo arranca?
• Es realmente el código original?
• Ejecución insegura
• Usuarios con muchos privilegios
• Servicios inútiles y con demasiados privilegios
• Comunicaciones inseguras
• Canales inseguros (IPV4)
• Accesos de clientes inseguros
• Degradación de la seguridad
• Integración de nuevo software
• Dispositivos de almacenamiento masivo
• Sistema sin parchear
• Antivirus y Antimalware desactualizados

6
Seguridad en Windows Vista
Excelencia enla Ingeniera
Diseñado y desarrollado pensando en la seguridad
Protección desdelos cimientos

• Protege de las amenazas de seguridad y reduce el
  riesgo de las interrupciones del negocio.

AccesoSeguro
Permite un acceso a la información y los
servicios mas fácil y seguro
Control Integrado
Proporciona herramientas de monitorización y
gestion centralizadas.
7
Excelencia en la IngenieríaProceso de Desarrollo
de Windows Vista

• Durante el desarrollo y creación de Windows
  Vista, Microsoft siguió su proceso mejorado de
  desarrollo seguro (SDL-Security Developmente
  LifeCycle).
• Formación periódica obligatoria en seguridad.
• Asignación de consejeros de seguridad para todos
  los componentes
• Modelo de amenazas como parte de la fase de
  diseño.
• Test y revisiones de Seguridad dentro del proceso
  de desarrollo.
• Mediciones de seguridad para los equipos de
  producto
• Certificación Common Criteria (CC)
• CC lo mantiene el US National Institute of
  Standards and Technology (Que también son
  responsables de FIPS)
• csrc.nist.gov/cc

8
Arranque seguroProtección desde los cimientos

• TPM
• Cifrado del disco duro (BitLocker Drive
  Encryption)
• Integridad del código

9
Arranque Seguro

• Tecnología que proporciona mayor seguridad
  utilizando Trusted Platform Module (TPM)
• Integridad en el arranque
• Protege los datos si el sistema esta Off-line
• Facilidad para el reciclado de equipos
• Trusted Platform Module (TPM) v1.2 Hardware
  integrado en el equipo. Ejemplo- Un Chip en la
  Placa Base
• Almacena credenciales de forma segura, como la
  clave privada de un certificado de maquina y
  tiene capacidad de cifrado. Tiene la
  funcionalidad de una SmartCard
• Se usa para solicitud de firma digital de código
  o ficheros y para autenticación mutua de
  dispositivos
• Firmware (BIOS Convencional o EFI BIOS)
  Compatible con TCG
• Establece la cadena de confianza para el
  pre-arranque del SO
• Debe de soportar las especificaciones TCG
  Static Root Trust Measurement (SRTM)
• Ver www.trustedcomputinggroup.org

10
Arquitectura de arranque seguro
CRTM
PCR
PCR
PCR
PCR
PCR Platform Configuration Register
PCR
CRTMCore Root of Trust Measurement
11
Cifrado completo del DiscoBitLocker Drive
Encryption (BDE)

• BDE cifra y firma todo el contenido del Disco
  Duro
• El chip TPM proporciona la gestion de claves
• Por lo tanto
• Cualquier modificación de los datos, no
  autorizada realizada off-line es descubierta y
  el acceso es denegado
• Nos previene de ataques que utilizan herramientas
  que acceden al disco duro cuando Windows no se
  esta ejecutando.
• Protección contra el robo de datos cuando se
  pierde o te roban el equipo
• Parte esencial del arranque seguro

12
Diseño del Disco
MBR

• El Volumen del SO contiene
• SO cifrado
• Ficheros de Paginación cifrados
• Ficheros temporales cifrados
• Datos Cifrados
• Fichero de hibernación cifrado

La partición de sistema contiene Utilidades de
Arranque (Sin cifrar, 450MB)
13
DEMOBitLocker Drive Encription
14
Integridad del código I

• Valida la integridad de la imagen de cada
  binario.
• Chequea los hashes de cada paquete cuando se
  cargan
• También chequea cualquier imagen que se carga en
  un proceso protegido
• Se implementa como un driver del sistema de
  ficheros
• Los hashes se almacenan en el catalogo de sistema
  o en un Certificado X.509 embebido en el fichero
• También valida la integridad del proceso de
  arranque
• Chequea el kernel, la HAL y los drivers de
  arranque
• Si la validación falla, la imagen no se cargará.

15
Integridad en Código II

• No confundir la validación de hashes con las
  firmas

16
Ejecución SeguraProtección desde los cimientos

• Fortificación de los servicios de Windows
• Reducción de Privilegios
• Protección de Cuentas de usuario (UAP)
• IE 7 con modo protegido
• Filtro Anti-Phishing

17
Fortificación de los servicios
Usuario

• Reducir el tamaño de capas de riesgo

Admin
S
Services

• Segmentación de servicios

S
Servicio 1
Servicio
Kernel

• Incrementar el número de capas

S
D
D
Servicio 2
Servicio
S
D
S
Servicio 3
Servicio A
S
Servicio B
Servicios Restringidos
Drivers de Kernel Servicios de
Sistema Servicios de privilegios bajos Drivers
en modo usuario
D
D
D
Aplicaciones sin privilegios
18
Fortificación de los servicios

• Los Servicios de Windows Services fueron una gran
  superficie de ataque debido a sus privilegios y a
  que estaban siempre activos
• Mejoras
• SID (per-service Security Identifier) reconocidos
  en ACLs (Access Control Lists), para que los
  servicios puedan proteger sus recursos
• Política de Firewall que prohíben el acceso de
  red por servicio, sujeto a ACLs y SIDs
• Quitar a los servicios los privilegios
  innecesarios
• Cambio de LocalSystem a LocalService o
  NetworkService cuando es posible
• Uso de testigos con restricciones de escritura
  para los procesos de los servicios

19
Protección de cuentas UsuarioUAP (User Account
Protection)

• Nos ayuda a implementar el principio de menor
  privilegio de dos maneras distintas
• El usuario no necesita tener privilegios
  administrativos para realizar ciertas tareas para
  las que se necesitas esos privilegios En
  cambio
• Se le pregunta al usuario por credenciales con
  mas privilegios
• Aunque el usuario tenga privilegios superiores(
  Ejem. un administrador), se le pregunta al
  usuario por su consentimiento antes de que esos
  derechos sean ejercitados
• No se necesita volver a proporcionar las
  credenciales, solo se necesita el consentimiento
• http//www.microsoft.com/technet/windowsvista/eval
  uate/feat/uaprot.mspx

20
UAP Usos y Políticas

• UAP (NO/SI) esta activado por defecto ( Beta 2)
• Se activa en el botón de inicio del Administrador
• UAP no aplica a la cuenta de Administrador por
  defecto que funciona normalmente
• Se pude controlar mediante una política
• Local Security Settings Local Policies Security
  Options LUA Behavior of the elevation prompt
• No Prompt Eleva los privilegios de manera
  transparente
• Prompt for Consent Pregunta al usuario si
  continua (Yes/No)
• Prompt for Credentials Requiere que el usuario
  introduzca credenciales (Por defecto)

21
Cambio fundamental en la operativa de Windows

• Hace que el sistema funcione bien como un usuario
  estándar
• Proporciona un método seguro para ejecutar
  aplicaciones en un contexto elevado
• Requiere marcar las aplicaciones que no sean UAP
• Deja claro las acciones que tienen un impacto en
  todo el equipo
• Virtualización del registro y ficheros para
  proporcionar compatibilidad.
• Escrituras en el registro de la maquina son
  redirigidas a localizaciones de usuario si el
  usuario no tiene privilegios administrativos
• Efectivamente cuentas estándar pueden ejecutar
  aplicaciones que necesitan cuentas de
  administración de manera segura.

22
DEMOUser Account Protection (UAP)
23
Internet Explorer 7

• Compatible con UAP
• Modo Protegido (Beta 2) que solo permite a IE
  navegar sin mas permisos, aunque el usuario los
  tenga. Por Ejemplo, Instalar software
• Modo de Solo-lectura, excepto para los ficheros
  temporales de Internet cuando el navegador esta
  en Zona de seguridad de Internet
• Filtro contra Phising que actualiza Microsoft
  cada poco tiempo y usa una red global de fuentes
  de datos
• ActiveX Opt-in, da al usuario el control de los
  controles Activex
• Todos los datos de cache se eliminan con un solo
  click
• Probad la Beta 2
• http//www.microsoft.com/windows/IE/ie7/default.ms
  px

24
Filtro anti-PhishingProtección dinámica contra
Webs Fraudulentas

• Realiza 3 chequeos para proteger al usuario de
  posibles timos
• Compara el Sitio Web con la lista local de sitios
  legítimos conocidos
• Escanea el sitio Web para conseguir
  características comunes a los sitios con Phising
• Cheque el sitio con el servicio online que tiene
  Microsoft sobre sitios reportados que se
  actualiza varias veces cada hora

Dos niveles de Aviso y protección en la barra de
estado de IE7
Level 1 Warn Suspicious Website Signaled
Level 2 Block Confirmed Phishing Site Signaled
and Blocked
25
Comunicaciones SegurasAcceso Seguro

• Network Access Protection
• Integración Firewall/IPSec

26
Network Access Protection (NAP)

• NAP es una nueva tecnología que tiene sus
  orígenes en la Cuarentena de VPN, pero ahora se
  extiende a todos los clientes de red, y no solo a
  los de acceso remoto
• Se apoya en un Servidor NAP, lo que significa
  Windows Longhorn Servers por ahora.
• Se especifica una política de
• Requerir los parches del SO, actualización de
  firma del antivirus, presencia o ausencia de
  ciertas aplicaciones, cualquier chequeo
  arbitrario
• y el sistema no permite el acceso a la red si la
  política no se cumple, excepto
• A una zona de Cuarentena donde se pueden
  descargar las actualizaciones o el software
  necesario.

27
Next Generation TCP/IP en Vista y Longhorn

• Una pila TCP/IP nueva, totalmente rehecha
• Implementación de Doble pila IPv6, con IPSec
  obligatorio
• IPv6 es mas seguro que IPv4 por diseño
• Privacidad, monitorización, escaneo de puertos,
  confidencialidad e integridad
• Otras mejoras de seguridad a nivel de red para
  IPv4 e IPv6
• Modelo de Host fuerte
• Compartimentos de enrutamiento por sesión
• Windows Filtering Platform
• Mejora de la resistencia de la pila TCP/IP contra
  ataques conocidos de DOS
• Auto-configuración y re-configuración sin
  reinicio
• Leer http//www.microsoft.com/technet/community/c
  olumns/cableguy/cg0905.mspx

28
Nuevo Firewall de Windows

• Para tráfico de entrada y salida
• El filtrado de salida para aplicaciones es nuevo
• Reemplaza la necesidad de algunas políticas de
  configuración IPSec, pero,
• Si ya usas IPSec para esto, probablemente no
  necesites la nueva funcionalidad
• Administración basada en políticas
• Muy bueno para controlar aplicaciones
  Peer-to-Peer a nivel de usuario y administrador

29
Windows Firewall Seguridad Avanzada

• Configuración de IPsec integrada en el firewall
  para proporcionar facilidad de configuración y
  gestión
• Control del trafico de salida
• Políticas inteligentes por defecto
• Configuración en pocos pasos
• Log mejorado
• Protección dinámica del sistema
• Aplicación de políticas basadas en la ubicación y
  el estado de las actualizaciones
• Integrado con la fortificación de los servicios
  de Windows

30
DEMOWindows Firewall
31
Mantener la SeguridadControl Integrado

• Anti-malware
• Gestor de Reinicios (Restart Manager)
• Client-based Security Scan Agent
• Control sobre la instalación de dispositivos
• Infraestructura de SmartCard Mejorada

32
Windows Defender Anti-Malware Integrado

• Detección Integrada, limpieza y bloqueo en tiempo
  real del malware
• Gusanos, virus, rootkits y spyware
• Para usuario Final- La gestion para empresas será
  un producto separado
• Además de UAP, que por supuesto nos prevendrá de
  muchos tipos de malware
• Integrado con Microsoft Malicious Software
  Removal Tool (MSRT) eliminara viruses, robots, y
  troyanos durante su actualización o cada mes
• Actualizable vía Microsoft Update

33
DEMOWindows Defender
34
Restart Manager

• Algunas actualizaciones requieren un reinicio
• El Gestor de Reinicios o Restart Manager
• Minimiza el número de reinicio necesarios
  juntando las actualizaciones
• Gestionar los reinicio de equipos que están
  bloqueados y ejecutan aplicaciones
• E.g. después de un reinicio, Microsoft Word
  reabrirá un documento en la pagina 27, tal y como
  estaba antes del reinicio
• Funcionalidad de importancia para la gestion
  centralizada de equipos en corporaciones.

35
Escaner de Seguridad

• Analiza y reporta el estado de seguridad del
  cliente Windows
• Nivel de parches y actualizaciones
• Estado de la seguridad
• Ficheros de firmas
• Estado del Anti-malware
• Habilidad de Windows para auto reportar su estado
• La información se puede recoger de manera
  centralizada o revisado en el Centro de Seguridad
  por el usuario o el administrador

36
Control instalación dispositivos

• Control sobre la instalación de dispositivos
  removibles vía políticas
• Principalmente para deshabilitar los dispositivos
  USB, pues muchas corporaciones están preocupadas
  por la perdida en la propiedad intelectual.
• Control por device class
• Drivers aprobados pueden ser pre-populados en un
  almacén de drivers de confianza
• Las politicas de Driver Store Policies
  gobiernan los paquetes de drivers que no están en
  el almacén de drivers
• Drivers estándar no corporativos
• Drivers sin Firma
• Estas políticas estas deshabilitadas por defecto
  debido a el riesgo inherente que los drivers
  arbitrarios representan.
• Una vez que el administrador pone un driver en el
  almacén, puede ser instalado independientemente
  de los permisos del usuario que inicie la sesión.

37
DEMOControl de instalación de dispositivos
38
Experiencia del Inicio de Sesión

• La GINA es reemplazada por la interfase del
  Servicio Proveedor de Credenciales
• El Logon UI puede interactuar con múltiples
  plug-in Proveedores de Credenciales
• Soporte directo para autenticación múltiple
  Smartcards y Testigos
• Plug-and-play para Smartcards
• Common CSPs (Cryptographic Service Providers), y
• Card Communication Modules
• Propagación de los Certificados Raiz
• Desbloqueo de smartcard integrado

39
Smartcards y Testigos

• Despliegue Simplificado
• Funciones de cifrado comunes pueden ser manejadas
  por la plataforma
• No hay necesidad de desarrollar CSPs a medida
• Herramientas de despliegue y Gestion del Ciclo de
  vida Alacris idNexus
• Gestión y aprovisionamiento
• Integración de la PKI con la CA de Entrust
• Integración de la PKI con Active Directory (!)
• Adquirido por Microsoft 19 de Septiembre 2005 ?
  Microsoft CLM

40
Selector de Identidad InfoCardUI consistente
para selección de Identidad

• El usuario necesita una manera fácil y visual de
  manejar múltiples identidades electrónicas
• IDs emitidos por Gobiernos, IDs corporativos, IDs
  auto firmados (como el nombre de usuario y la
  contraseña de un sito Web)
• Una abstracción visual de cualquier tipo de
  identidad (PKI, contraseña, testigos, secretos,
  frases clave, etc.)
• Visión UI que es común en toda la industria
• Ver las 7 leyes de la Identidad en
  www.identityblog.com
• Relación con el Metasistema de Identidad

41
Relación con IAMIdentity and Access Management

• IAM esta creciendo rápidamente según las
  corporaciones necesitan resolver sus problemas de
  gestion de identidades
• Principalmente con la ayuda de Microsoft Identity
  Integration Server (MIIS) para la gestion del
  ciclo de vida de las identidades
• Integración con Authorization Manager (AzMan),
  Windows Vista tendrá soporte integrado para
  Control de acceso basado en Roles (RBAC)
• Con soporte para SQL Server, Grupos de reglas de
  negocio, consultas expandidas LDAP
• Active Directory Federation Services (ADFS)
  relación con el Metasistema de Identidad basado
  en WS, las Infocard cobraron importancia
  rápidamente
• UI del Metasistema de Identidad

42
Vista El Windows más seguro
Engineering Excellence

• Inicio Seguro
• Bitlocker
• Intefridad de código

Foundational Protection

• Ejcución segura
• User Account Protection
• Anti-Phishing y Modo Seguro de IE
• Fortificación de Servicios
• Credential Manager/Provider

• Comunicaciones más seguras
• Network Access Protection
• NG TCP/IP
• Integración del Firewall/IPSec
• Nueva Criptografía

Secure Access

• Permanecer más seguro
• Anti-malware
• Restart Manager
• Client-based Security Scan Agent
• Control sobre la instalación de dispositivos
• Infrastructura de Smartcards mejorada

Integrated Control
43
REFERENCIAS

• http//www.microsoft.com/windowsvista
• http//www.microsoft.com/spain/windowsvista/defaul
  t.mspx
• http//www.microsoft.com/technet/windowsvista/defa
  ult.mspx
• El Blog de Windows Vista en Castellano
• http//blogs.technet.com/windowsvista

44
PREGUNTAS?
David Cervigón Luna Microsoft IT Pro
Evangelist davidce_at_microsoft.com http//blogs.tech
net.com/davidcervigon http//blogs.technet.com/win
dowsvista