Seguridad en el escritorio y con Directorio Activo

Osvaldo Casagrandeosvaldo@iss.com.pyInformation Security Servicesocasagrande@diviserv.comDiviServ S.A

Agenda

Estrategia de Seguridad

Directorio Activo como base de seguridad

Ejemplos de aplicaciones

Herramientas de uso para el uso gratuito

Defensa en Profundidad

Directivas, Procedimientos y concienciación.

Fortificación host, gestión de

actualizaciones, autenticación

Firewalls, VPN quarantine

Guardas, cierres, dispositivos de

vigilancia

Network segments, IPSec, NIDS

Código seguro, fortificación,

antivirus…

ACL, encriptación

Formación

Seguridad Física

Perímetro

Red Interna

Servidor

Aplicacion

Datos

Automatización via

Productos, Herramientas

Consistente &

Repetible

Roles y

Responsabilidades

definidos con los

skills adecuados

Procesos

GenteTecnología

Capacidades de un Servicio

Agenda

Estrategia de seguridad

Directorio Activo como base de seguridad

Ejemplos de aplicaciones

Herramientas de uso para el uso gratuito

Gestión centralizada de la seguridad

GPOs para:

Gestionar configuración de servidores, equipos cliente y grupos de usuarios

Forzado de políticas de IT

Puesta en práctica consistente de la configuraciones de seguridad a lo largo de la empresa

A muchos Escritorios y Servidores.

Active DirectoryStaff de TI

Group Policy

A Muchos Usuarios

Uno a Muchos: gestión de usuarios y equipos

Seguridad en Directorio Activo

Gestión centralizada de usuarios y equipos

Administración delegada

Políticas de grupo

Simplificar la gestión del acceso a la red

Autentificación Kerberos

SSO para recursos de red y algunas aplicaciones de terceros como SAP

Disponibilidad: Replicación multimaster

DA: Seguridad

Plantillas de seguridad

Prevenir que los usuarios modifiquen configuraciones de los puestos

Políticas de Restricción de Software

Auditoría de cambios y Eventos

Automatizar el bloqueo de sistemas Windows

Contraseña fuerte y Credenciales de Logon

Control granular de la política de contraseñas

Historia, antiguedad, longitud min/max, complejidad

Politica de contraseña diferente para usuarios especiales (Administrador del dominio y cuentas de servicio)

Definir políticas de bloqueo de cuenta

Duración, umbral

Permitir uso de autntificación de dos factores

Smartcards, biometricos, otros tokens

File Sharing

ExchangeSQL

Server

Conectividad de Red Segura

Gestión de Seguridad y Operaciones

IPSEC

Active

Directory

Active Directory

Non-AD

Directory

UNIXApplication

LAN

Wireless

LAN

VPN

Gateway

WebServices

Forefront

TMG

Infraestructura para conexiones seguras

Menor TCOMenos identidades y Directorios a gestionar

Login único desde puestos-cliente a datos en red

Reducción del riesgo de accesos no-autorizados Autentificación segura mediante

Kerberos y PKI

Verificación de Identidades única o sincronizada

Políticas de Seguridad

Infraestructura para Conexiones seguras Mejoras en acceso y securización de Aplicaciones

Web ServerSeguro “por defecto”, aislamiento de procesos

Monitorización de estado, autentificación y autorización

PKI

Implementación de Wireless LANEAP, PEAP, TLS, 802.1x con auto-asignación, password o implementación de Certificados

Control de Acceso a la Red (NAP)

PKIRazones para implantar PKI

Implantación de Wireless

Seguridad de Red

Protección de contenidos

Cifrado de correo

Firma digital

Cifrado de comunicación entre servidores y/o clientes

S/MIME, VPN, IPSEC, EFS, Smartcard logon, SSL/TLS, digital signatures

Instalación e implementación de PKI más sencilla

Instalación más sencilla y administración integrada con AD

Escenario flexible: edición de plantillas de Cert, delta CRL, archivado y restauración de claves

Integración de SSL con Web server

Transparente para usuarios

Emisión automática de Certificados vía Group Policy

Smart cards “para todo”

Admins, Terminal Services, RAS (forzado con Policies)

El usuario requiere

acceso al puerto

El “switch” pregunta por

las credenciales del

usuario

El dispositivo reenvía al

NPS el estado de SALUD

NAP evalúa los detalles de

conexión contra las

políticas

También reenvía las

credenciales de

autenticación al AD

Si la política concuerda, and

y el usuario es autenticado,

el acceso es permitido

El dispositivo permite el

acceso

Recordemos: Redes y Seguridad

Gestión de Derechos Digitales

RMS

RMS Escenarios de uso

Control de accesos a planes sensibles

Establecer nivel de acceso: vista, cambio, imprimir, etc.

Determinar duración del acceso

Secure Workflows:Proteger Archivos

Sensitvos

Matiene correos ejecutivos fuera de internet

Reducir el reenvio de información confidencial

Plantillas para centralizar políticas

Email Seguro:No-reenviar

Email

Proteger contenido financiero, legal, HR

Establecer nivel de acceso: vsta, imprimir, exportar

Secure Workflows:Proteger Contenido

de Intranet

Mantener la infiormación interna … dentro…

Outlook

Word, Excel,

Powerpoint 2003/2010

IE con RMA

Agregar a los

usuarios el

permiso de

Lectura

y Cambio

Verificar

existencia via

AD

Agregar

permisos

avanzados

Definifr

Fecha de

expiracion

Habilitar

permisos de

impresion,

copia

Agregar/Remover

usuarios

adicionales

Contactar por

permisos

adicionales

APPLocker – Directiva de Ejecución de Aplicaciones

Evitar el acceso a aplicaciones

Manejo de componentes de Internet Explorer

Evitar la instalación y empleo de Componentes en el Explorador

Agenda

Estrategia de Seguridad

Directorio Activo como base de seguridad

Ejemplos de aplicaciones

Herramientas de uso para el uso gratuito

MBSA Y WSUS

Análisis de Vulnerabilidades

Patch management

Reportes.

Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.