Seguridad en el escritorio y con Directorio Activo

Osvaldo Casagrande osvaldo@iss.com.py Information Security Services ocasagrande@diviserv.com DiviServ S.A

Agenda
Estrategia de Seguridad Directorio Activo como base de seguridad Ejemplos de aplicaciones Herramientas de uso para el uso gratuito

Defensa en Profundidad
Datos
ACL, encriptacin Cdigo seguro, fortificacin, antivirus Fortificacin host, gestin de actualizaciones, autenticacin Network segments, IPSec, NIDS Firewalls, VPN quarantine

Aplicacion
Servidor Red Interna Permetro Seguridad Fsica Directivas, Procedimientos y concienciacin.

Guardas, cierres, dispositivos de vigilancia Formacin

Capacidades de un Servicio
Consistente & Repetible

Procesos

Tecnologa

Gente

Automatizacin via Productos, Herramientas

Roles y Responsabilidades definidos con los skills adecuados

Agenda
Estrategia de seguridad Directorio Activo como base de seguridad Ejemplos de aplicaciones Herramientas de uso para el uso gratuito

Gestin centralizada de la seguridad

Uno a Muchos: gestin de usuarios y equipos GPOs para: Gestionar configuracin de servidores, equipos cliente y grupos de usuarios Forzado de polticas de IT Puesta en prctica consistente de la configuraciones de seguridad a lo largo de la empresa
Group Policy Active Directory

Staff de TI

A Muchos Usuarios

A muchos Escritorios y Servidores.

Seguridad en Directorio Activo

Gestin centralizada de usuarios y equipos Administracin delegada Polticas de grupo Simplificar la gestin del acceso a la red Autentificacin Kerberos SSO para recursos de red y algunas aplicaciones de terceros como SAP Disponibilidad: Replicacin multimaster

DA: Seguridad
Automatizar el bloqueo de sistemas Windows Plantillas de seguridad Prevenir que los usuarios modifiquen configuraciones de los puestos Polticas de Restriccin de Software Auditora de cambios y Eventos

Contrasea fuerte y Credenciales de Logon

Control granular de la poltica de contraseas
Historia, antiguedad, longitud min/max, complejidad

Politica de contrasea diferente para usuarios especiales (Administrador del dominio y cuentas de servicio) Definir polticas de bloqueo de cuenta
Duracin, umbral

Permitir uso de autntificacin de dos factores

Smartcards, biometricos, otros tokens

Infraestructura para conexiones seguras

Wireless LAN VPN Gateway

Exchange File Sharing LAN UNIX Application

SQL Server

Forefront TMG

Conectividad de Red Segura Gestin de Seguridad y Operaciones IPSEC

Web Services

Menor TCO
Menos identidades y Directorios a gestionar Login nico desde puestos-cliente a datos en red

Reduccin del riesgo de accesos no-autorizados

Non-AD Directory Active Directory Active Directory
Autentificacin segura mediante Kerberos y PKI Verificacin de Identidades nica o sincronizada Polticas de Seguridad

Infraestructura para Conexiones seguras

Mejoras en acceso y securizacin de Aplicaciones

Web Server
Seguro por defecto, aislamiento de procesos Monitorizacin de estado, autentificacin y autorizacin

PKI Implementacin de Wireless LAN

EAP, PEAP, TLS, 802.1x con auto-asignacin, password o implementacin de Certificados

Control de Acceso a la Red (NAP)

PKI
Razones para implantar PKI
Implantacin de Wireless Seguridad de Red Proteccin de contenidos Cifrado de correo Firma digital Cifrado de comunicacin entre servidores y/o clientes S/MIME, VPN, IPSEC, EFS, Smartcard logon, SSL/TLS, digital signatures

Instalacin e implementacin de PKI ms sencilla

Instalacin ms sencilla y administracin integrada con AD Escenario flexible: edicin de plantillas de Cert, delta CRL, archivado y restauracin de claves Integracin de SSL con Web server

Transparente para usuarios

Emisin automtica de Certificados va Group Policy Smart cards para todo Admins, Terminal Services, RAS (forzado con Policies)

Recordemos: Redes y Seguridad

El usuario requiere acceso al puerto

El switch pregunta por las credenciales del usuario

El dispositivo reenva al NPS el estado de SALUD

NAP evala los detalles de conexin contra las polticas Tambin reenva las credenciales de autenticacin al AD El dispositivo permite el acceso

Si la poltica concuerda, and y el usuario es autenticado, el acceso es permitido

Gestin de Derechos Digitales

RMS

RMS Escenarios de uso

Mantener la infiormacin interna dentro
Email Seguro: No-reenviar Email Secure Workflows: Proteger Archivos Sensitvos Secure Workflows: Proteger Contenido de Intranet
IE con RMA
Proteger

Outlook

Matiene correos ejecutivos fuera de internet Reducir el reenvio de informacin confidencial Plantillas para centralizar polticas

Word, Excel, Powerpoint 2003/2010

Control de accesos a planes sensibles Establecer nivel de acceso: vista, cambio, imprimir, etc. Determinar duracin del acceso

contenido financiero, legal, HR Establecer nivel de acceso: vsta, imprimir, exportar

Agregar a los usuarios el permiso de Lectura y Cambio

Verificar existencia via AD

Agregar permisos avanzados

Agregar/Remover usuarios adicionales

Definifr Fecha de expiracion

Habilitar permisos de impresion, copia

Contactar por permisos adicionales

APPLocker Directiva de Ejecucin de Aplicaciones

Evitar el acceso a aplicaciones

Manejo de componentes de Internet Explorer

Evitar la instalacin y empleo de Componentes en el Explorador

Agenda
Estrategia de Seguridad Directorio Activo como base de seguridad Ejemplos de aplicaciones Herramientas de uso para el uso gratuito

MBSA Y WSUS
Anlisis de Vulnerabilidades Patch management Reportes.

Microsoft Corporation. All rights reserved.

This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.