Seguridad en el escritorio y con Directorio Activo Osvaldo Casagrande [email protected] Information Security Services [email protected] DiviServ S.A
Dec 01, 2014
Seguridad en el escritorio y con Directorio Activo
Osvaldo [email protected] Security [email protected] S.A
Agenda
Estrategia de Seguridad
Directorio Activo como base de seguridad
Ejemplos de aplicaciones
Herramientas de uso para el uso gratuito
Defensa en Profundidad
Directivas, Procedimientos y concienciación.
Fortificación host, gestión de
actualizaciones, autenticación
Firewalls, VPN quarantine
Guardas, cierres, dispositivos de
vigilancia
Network segments, IPSec, NIDS
Código seguro, fortificación,
antivirus…
ACL, encriptación
Formación
Seguridad Física
Perímetro
Red Interna
Servidor
Aplicacion
Datos
Automatización via
Productos, Herramientas
Consistente &
Repetible
Roles y
Responsabilidades
definidos con los
skills adecuados
Procesos
GenteTecnología
Capacidades de un Servicio
Agenda
Estrategia de seguridad
Directorio Activo como base de seguridad
Ejemplos de aplicaciones
Herramientas de uso para el uso gratuito
Gestión centralizada de la seguridad
GPOs para:
Gestionar configuración de servidores, equipos cliente y grupos de usuarios
Forzado de políticas de IT
Puesta en práctica consistente de la configuraciones de seguridad a lo largo de la empresa
A muchos Escritorios y Servidores.
Active DirectoryStaff de TI
Group Policy
A Muchos Usuarios
Uno a Muchos: gestión de usuarios y equipos
Seguridad en Directorio Activo
Gestión centralizada de usuarios y equipos
Administración delegada
Políticas de grupo
Simplificar la gestión del acceso a la red
Autentificación Kerberos
SSO para recursos de red y algunas aplicaciones de terceros como SAP
Disponibilidad: Replicación multimaster
DA: Seguridad
Plantillas de seguridad
Prevenir que los usuarios modifiquen configuraciones de los puestos
Políticas de Restricción de Software
Auditoría de cambios y Eventos
Automatizar el bloqueo de sistemas Windows
Contraseña fuerte y Credenciales de Logon
Control granular de la política de contraseñas
Historia, antiguedad, longitud min/max, complejidad
Politica de contraseña diferente para usuarios especiales (Administrador del dominio y cuentas de servicio)
Definir políticas de bloqueo de cuenta
Duración, umbral
Permitir uso de autntificación de dos factores
Smartcards, biometricos, otros tokens
File Sharing
ExchangeSQL
Server
Conectividad de Red Segura
Gestión de Seguridad y Operaciones
IPSEC
Active
Directory
Active Directory
Non-AD
Directory
UNIXApplication
LAN
Wireless
LAN
VPN
Gateway
WebServices
Forefront
TMG
Infraestructura para conexiones seguras
Menor TCOMenos identidades y Directorios a gestionar
Login único desde puestos-cliente a datos en red
Reducción del riesgo de accesos no-autorizados Autentificación segura mediante
Kerberos y PKI
Verificación de Identidades única o sincronizada
Políticas de Seguridad
Infraestructura para Conexiones seguras Mejoras en acceso y securización de Aplicaciones
Web ServerSeguro “por defecto”, aislamiento de procesos
Monitorización de estado, autentificación y autorización
PKI
Implementación de Wireless LANEAP, PEAP, TLS, 802.1x con auto-asignación, password o implementación de Certificados
Control de Acceso a la Red (NAP)
PKIRazones para implantar PKI
Implantación de Wireless
Seguridad de Red
Protección de contenidos
Cifrado de correo
Firma digital
Cifrado de comunicación entre servidores y/o clientes
S/MIME, VPN, IPSEC, EFS, Smartcard logon, SSL/TLS, digital signatures
Instalación e implementación de PKI más sencilla
Instalación más sencilla y administración integrada con AD
Escenario flexible: edición de plantillas de Cert, delta CRL, archivado y restauración de claves
Integración de SSL con Web server
Transparente para usuarios
Emisión automática de Certificados vía Group Policy
Smart cards “para todo”
Admins, Terminal Services, RAS (forzado con Policies)
El usuario requiere
acceso al puerto
El “switch” pregunta por
las credenciales del
usuario
El dispositivo reenvía al
NPS el estado de SALUD
NAP evalúa los detalles de
conexión contra las
políticas
También reenvía las
credenciales de
autenticación al AD
Si la política concuerda, and
y el usuario es autenticado,
el acceso es permitido
El dispositivo permite el
acceso
Recordemos: Redes y Seguridad
Gestión de Derechos Digitales
RMS
RMS Escenarios de uso
Control de accesos a planes sensibles
Establecer nivel de acceso: vista, cambio, imprimir, etc.
Determinar duración del acceso
Secure Workflows:Proteger Archivos
Sensitvos
Matiene correos ejecutivos fuera de internet
Reducir el reenvio de información confidencial
Plantillas para centralizar políticas
Email Seguro:No-reenviar
Proteger contenido financiero, legal, HR
Establecer nivel de acceso: vsta, imprimir, exportar
Secure Workflows:Proteger Contenido
de Intranet
Mantener la infiormación interna … dentro…
Outlook
Word, Excel,
Powerpoint 2003/2010
IE con RMA
Agregar a los
usuarios el
permiso de
Lectura
y Cambio
Verificar
existencia via
AD
Agregar
permisos
avanzados
Definifr
Fecha de
expiracion
Habilitar
permisos de
impresion,
copia
Agregar/Remover
usuarios
adicionales
Contactar por
permisos
adicionales
APPLocker – Directiva de Ejecución de Aplicaciones
Evitar el acceso a aplicaciones
Manejo de componentes de Internet Explorer
Evitar la instalación y empleo de Componentes en el Explorador
Agenda
Estrategia de Seguridad
Directorio Activo como base de seguridad
Ejemplos de aplicaciones
Herramientas de uso para el uso gratuito
MBSA Y WSUS
Análisis de Vulnerabilidades
Patch management
Reportes.
Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.