Windows 7 Security
Content
Windows 7 Security
Paulo Dias
IT Pro Evangelist Microsoft [email protected] http://blogs.technet.com/pdias
Fernando Guillot
IT Pro Evangelist Microsoft [email protected] http://blogs.technet.com/guillot
Agenda
UAC y los Usuarios normales Bitlocker y Bitlocker ToGo Applocker
UAC y los Usuarios Normales en Windows 7
El verdadero motivo de UAC
El objetivo último: todos corriendo cómo usuario Normal ¿Porqué? Seguridad: Applicaciones vulnerables = máquina vulnerable TCO: Los usuarios no podrán romper sus máquinas tan fácilmente Manageability: Usuarios no podrán romper las políticas ¿Cómo llegamos allí? Sencillo: Reprograma todas tus aplicaciones para que funcionen con usuarios Normales
UAC cómo tecnología de Transición
Cambiar miles de aplicaciones a la vez puede resultar bastante problemático UAC es una tecnología de transición
Es una manera más suave de llegar a los usuarios normales Muchas de las aplicaciones que no funcionarían cómo un usuario normal seguirán funcionando con UAC
Tipos de usuarios en Vista y Win7
El Administrador: llamado Administrador Un Administrador: tu usuario con permisos de administrador Modo Aprobación: tu usuario con acceso fácil a los privilegios de Administradores Usuarios Normal: Usuario sin permisos de administrador
Mucho más seguro, pero Cuenta conveniente, esto irá menos por defecto Mejorando en las siguientes versiones. Se tiende a que Este usuario sea el de por defecto
UAC en Windows 7
Similar al UAC de Vista
Muchas interrupciónes al usuario elimindas, haciendo que todo el mundo las pueda hacer
La configuarción de UAC son plenamente visibles en el panel de control
En vista había que entrar en el Registro
Demo
¿Porqué nos interrumpe UAC?
Windows solía ejecutar todo con cuentas Administradoras por defecto
Los programadores hacían lo que fuese para que sus procesos hiciensen el trabajo lo más rápido posible Algunas de estas cosas eran manipulación de privilegios de recursos, algunas veces incluso sin saberlo
Esto es cierto para desarrolladores dentro de MS y aplicaciones de terceros.
¿Porqué Interrumpir?
Elevaciones de UAC
Lo que puede hacer un Admin
Esto permite al usuario Realizar operaciones Elevadas cuando Lo necesite
Cosas puede usuario Lo que que un hacer Normal necesita hacer Un Usuario normal
Mientras, nos interrumpen para indicar que estas son operaciones no queremos que se ejecuten sin nuestro consentimiento
¿Qué son estas elevaciones?
Algunas son necesarios
Instalar o desinstalar software Cambiar configuración del Firewall Cambiar la hora del sistema
Algunas no son necesarias
Uso incorrecto y innecesario de ramas de registro Cambio de huso horario Ver sin modificar configuraciones del sistema
Mitos de UAC
“Todo el mundo deshabilita UAC” “Windows interrumpe demasiado” Cuanto hay de mito? Cuanto de Realidad?
¿La mayoría de los Usuarios deshabilita UAC?
UAC está habilitado para el 88% de los usuarios Si tu estrategia de desarrollo es esperar a que UAC desaparezca tal vez sea hora de reconsiderar
¿Cuanto Interrumpe UAC?
Medir las Interrupciones por sesión Sesión:
Empieza con el logon del usuarios Acaba con el logoff del usuario o a las 24horas La media de sesión es de 8.2 horas
Interrupciones por sesión en RTM, SP1, Consumer y Enterprise
Mejora de las aplicaciones en el tiempo
Más información
Windows 7 Blog
General http://blogs.msdn.com/e7/ Especifico de UAC http://blogs.msdn.com/e7/archive/2008/10/08/ user-account-control.aspx
Protegiendo tu entorno en Windows 7 con Bitlocker y Bitlocker to Go
¿Qué vamos a cubrir?
Capacidades de BitLocker Encrypt FAT data volumes and removable storage devices Recuperación de datos encryptados
BitLocker
+
Extiende la encriptación de los discos duros a los dispositivos externos Creación de políticas de grupo para obligar al uso de encriptación y bloqueo de dispositivos no encriptados Simplificar la instalación y configuración de la encriptación en el disco primario
Nuevas funcionalidades de BitLocker
BitLocker
Mejora en la Instalación Partición de 200Mb Oculta Nuevo protector de Llaves
BitLocker To Go
Soporte para FAT Protectores: DRA, passphrase, smart card and/or auto-unlock Nuevas GPO’s para mejorar la gestión en organizaciones Disponibilidad por Edición Lector de Bitlocker To Go (para versiones anteriores)
Trusted Platform Module (TPM)
TPM BIOS TCG BIOS Specification Physical presence interface Memory overwrite on reset Immutable CRTM or secure update USB Hard Disk
Version 1.2 o superior
www.trustedcomputinggroup.org/specs/TPM www.trustedcomputinggroup.org/specs/PCClient
System boot from USB 1.x and 2.x
Requires at least two partitions
USB read/write in pre-operating
system environment
Separate partitions for System and OS
DEMO
Encryptar un dispositivo en formateado con FAT Configurar Bitlocker to Go por políticas
Disk Layout and Key Storage
Volumen del S.O.
Contiene encriptado El Sistema Operativo El fichero de Paginación Ficheros temporales Datos Fichero de Hibernación
¿Donde está la Clave de Encriptación?
1. SRK (Storage Root Key) en el TPM
2. SRK encripta el VMK (Volume Master Key)
3. VMK encripta el FVEK (Full Volume Encryption Key) – usado para los datos actuales de encriptación 4. FVEK y VMK se almacenan encriptados en el volumen del Sistema Operativo
2 Volumen del Sistema 4 Operativo
Sistema
3
1
BitLocker on Removable Drives
Tipo de Dispositivo • Removable data drives • USB flash drives • External hard drives Metodos de desbloqueo • Passphrase • Smart card • Automatic unlocking Metodos de Recuperación • Recovery password • Recovery key • Active Directory backup of recovery password • Data Recovery Agent Gestión • Robust and consistent group policy controls • Ability to mandate encryption prior to granting write access Systema de Ficheros • NTFS • FAT • FAT32 • ExFAT
Gestionando BitLocker en dispositivos Externos
Escenarios de recuperación
Pérdida u Olvido de códigos Actualización de los ficheros raiz Hardware estropeado
Ataque deliberado
Metodos de recuperación
Develop Strategy Active Directory Data Recovery Agents
Windows Recovery Environment
DEMO
Recuperar un dispositivo FAT32 Gestionar y desencriptar un disco protegido con Bitlocker
Resumen
Capacidades de Bitlocker Encriptación de discos con BitLocker y Bitlocker To Go Data Recovery Agent (DRA)
AppLocker en Windows 7
Problemática con Applicaciones
Aumento en el coste de soporte debido a
Applicaciones/Versiones no soportadas Entornos no estandarizados
Problemas de licenciamiento de software
Applicaciones no lincenciadas End user license agreements (EULA)
Problemas de hurto digital
Malware Troyanos Ingeniería social
Formas de protección
Formas tradicionales
Uso de Usuarios Normales, autenticación fuerte, … Anti-virus, firewall, IDS, … Control de acceso a datos por políticas
Access Control Policies (ACLs) DRM, encriptación, …
Sin embargo…
Cualquier software que esté ejecutandose por un usuario tiene los mismos permisos a los datos que el propio usuario
Software Restriction Policies (SRP)
Los administradores controlan la execución en los entornos
Bloquear/Denegar un listado de aplicaciones no autorizadas
Posible pero poco efectivo
Permitir un listado de Software válido
Aplicaciones, librerías, scripts, e instalaciones que permitiremos ejecutarse Software no conocido se bloqueará por defecto
SRP en Windows
Se introdujo en XP y en Windows 2003 Gestionado de manera centralizada por políticas 4 tipos de reglas
Hash, Certificate, Path y Zona
Sin embargo…
Gestion díficil
Los Hashes de las reglas de Hash no sobreviven a aplicaciones actualizadas Las reglas de certificados no utilizaban información del publicador
Difícil de probar en real Implementado en modo Usuario, hacía que fuese mucho menos efectivo
AppLocker en Windows 7
Mejora la gestión
Mejora experiencia de usuario Generación de reglas automáticas Soporte para Auditorías de políticas Soporte para PowerShell
Implementado en modo Kernel
Mejora de la Gestión Nueva experiencia de Usuario
Mejora de la Gestión Autogeneración de Reglas
Microsoft Confidential
Mejora de la Gestión Reglas de Publicación
Microsoft Confidential
Mejora de la Gestión PowerShell
Escenario: Después de auditar una política durnate 2 semanas, queremos analizar los logs para ajustar la política. De esta manera podremos estar seguros a la hora de forzar la política en nuestra organización
Descarga y análisis de Logs
Get-AppLocker FileInformation
Crear una nueva política de prueba
NewAppLocker Policy
Ver que ficheros correrán
TestAppLocker Policy
Aplicar la política
SetAppLocker Policy
Mejora de la Gestión
Implementación simplificada con el modo Audit-Only Excepciones Condiciones de Usuarios dentro de Reglas Mensajes de Error personalizados
Digital Assets scenario with AppLocker
© 2009 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Paulo Dias
IT Pro Evangelist Microsoft [email protected] http://blogs.technet.com/pdias
Fernando Guillot
IT Pro Evangelist Microsoft [email protected] http://blogs.technet.com/guillot
Agenda
UAC y los Usuarios normales Bitlocker y Bitlocker ToGo Applocker
UAC y los Usuarios Normales en Windows 7
El verdadero motivo de UAC
El objetivo último: todos corriendo cómo usuario Normal ¿Porqué? Seguridad: Applicaciones vulnerables = máquina vulnerable TCO: Los usuarios no podrán romper sus máquinas tan fácilmente Manageability: Usuarios no podrán romper las políticas ¿Cómo llegamos allí? Sencillo: Reprograma todas tus aplicaciones para que funcionen con usuarios Normales
UAC cómo tecnología de Transición
Cambiar miles de aplicaciones a la vez puede resultar bastante problemático UAC es una tecnología de transición
Es una manera más suave de llegar a los usuarios normales Muchas de las aplicaciones que no funcionarían cómo un usuario normal seguirán funcionando con UAC
Tipos de usuarios en Vista y Win7
El Administrador: llamado Administrador Un Administrador: tu usuario con permisos de administrador Modo Aprobación: tu usuario con acceso fácil a los privilegios de Administradores Usuarios Normal: Usuario sin permisos de administrador
Mucho más seguro, pero Cuenta conveniente, esto irá menos por defecto Mejorando en las siguientes versiones. Se tiende a que Este usuario sea el de por defecto
UAC en Windows 7
Similar al UAC de Vista
Muchas interrupciónes al usuario elimindas, haciendo que todo el mundo las pueda hacer
La configuarción de UAC son plenamente visibles en el panel de control
En vista había que entrar en el Registro
Demo
¿Porqué nos interrumpe UAC?
Windows solía ejecutar todo con cuentas Administradoras por defecto
Los programadores hacían lo que fuese para que sus procesos hiciensen el trabajo lo más rápido posible Algunas de estas cosas eran manipulación de privilegios de recursos, algunas veces incluso sin saberlo
Esto es cierto para desarrolladores dentro de MS y aplicaciones de terceros.
¿Porqué Interrumpir?
Elevaciones de UAC
Lo que puede hacer un Admin
Esto permite al usuario Realizar operaciones Elevadas cuando Lo necesite
Cosas puede usuario Lo que que un hacer Normal necesita hacer Un Usuario normal
Mientras, nos interrumpen para indicar que estas son operaciones no queremos que se ejecuten sin nuestro consentimiento
¿Qué son estas elevaciones?
Algunas son necesarios
Instalar o desinstalar software Cambiar configuración del Firewall Cambiar la hora del sistema
Algunas no son necesarias
Uso incorrecto y innecesario de ramas de registro Cambio de huso horario Ver sin modificar configuraciones del sistema
Mitos de UAC
“Todo el mundo deshabilita UAC” “Windows interrumpe demasiado” Cuanto hay de mito? Cuanto de Realidad?
¿La mayoría de los Usuarios deshabilita UAC?
UAC está habilitado para el 88% de los usuarios Si tu estrategia de desarrollo es esperar a que UAC desaparezca tal vez sea hora de reconsiderar
¿Cuanto Interrumpe UAC?
Medir las Interrupciones por sesión Sesión:
Empieza con el logon del usuarios Acaba con el logoff del usuario o a las 24horas La media de sesión es de 8.2 horas
Interrupciones por sesión en RTM, SP1, Consumer y Enterprise
Mejora de las aplicaciones en el tiempo
Más información
Windows 7 Blog
General http://blogs.msdn.com/e7/ Especifico de UAC http://blogs.msdn.com/e7/archive/2008/10/08/ user-account-control.aspx
Protegiendo tu entorno en Windows 7 con Bitlocker y Bitlocker to Go
¿Qué vamos a cubrir?
Capacidades de BitLocker Encrypt FAT data volumes and removable storage devices Recuperación de datos encryptados
BitLocker
+
Extiende la encriptación de los discos duros a los dispositivos externos Creación de políticas de grupo para obligar al uso de encriptación y bloqueo de dispositivos no encriptados Simplificar la instalación y configuración de la encriptación en el disco primario
Nuevas funcionalidades de BitLocker
BitLocker
Mejora en la Instalación Partición de 200Mb Oculta Nuevo protector de Llaves
BitLocker To Go
Soporte para FAT Protectores: DRA, passphrase, smart card and/or auto-unlock Nuevas GPO’s para mejorar la gestión en organizaciones Disponibilidad por Edición Lector de Bitlocker To Go (para versiones anteriores)
Trusted Platform Module (TPM)
TPM BIOS TCG BIOS Specification Physical presence interface Memory overwrite on reset Immutable CRTM or secure update USB Hard Disk
Version 1.2 o superior
www.trustedcomputinggroup.org/specs/TPM www.trustedcomputinggroup.org/specs/PCClient
System boot from USB 1.x and 2.x
Requires at least two partitions
USB read/write in pre-operating
system environment
Separate partitions for System and OS
DEMO
Encryptar un dispositivo en formateado con FAT Configurar Bitlocker to Go por políticas
Disk Layout and Key Storage
Volumen del S.O.
Contiene encriptado El Sistema Operativo El fichero de Paginación Ficheros temporales Datos Fichero de Hibernación
¿Donde está la Clave de Encriptación?
1. SRK (Storage Root Key) en el TPM
2. SRK encripta el VMK (Volume Master Key)
3. VMK encripta el FVEK (Full Volume Encryption Key) – usado para los datos actuales de encriptación 4. FVEK y VMK se almacenan encriptados en el volumen del Sistema Operativo
2 Volumen del Sistema 4 Operativo
Sistema
3
1
BitLocker on Removable Drives
Tipo de Dispositivo • Removable data drives • USB flash drives • External hard drives Metodos de desbloqueo • Passphrase • Smart card • Automatic unlocking Metodos de Recuperación • Recovery password • Recovery key • Active Directory backup of recovery password • Data Recovery Agent Gestión • Robust and consistent group policy controls • Ability to mandate encryption prior to granting write access Systema de Ficheros • NTFS • FAT • FAT32 • ExFAT
Gestionando BitLocker en dispositivos Externos
Escenarios de recuperación
Pérdida u Olvido de códigos Actualización de los ficheros raiz Hardware estropeado
Ataque deliberado
Metodos de recuperación
Develop Strategy Active Directory Data Recovery Agents
Windows Recovery Environment
DEMO
Recuperar un dispositivo FAT32 Gestionar y desencriptar un disco protegido con Bitlocker
Resumen
Capacidades de Bitlocker Encriptación de discos con BitLocker y Bitlocker To Go Data Recovery Agent (DRA)
AppLocker en Windows 7
Problemática con Applicaciones
Aumento en el coste de soporte debido a
Applicaciones/Versiones no soportadas Entornos no estandarizados
Problemas de licenciamiento de software
Applicaciones no lincenciadas End user license agreements (EULA)
Problemas de hurto digital
Malware Troyanos Ingeniería social
Formas de protección
Formas tradicionales
Uso de Usuarios Normales, autenticación fuerte, … Anti-virus, firewall, IDS, … Control de acceso a datos por políticas
Access Control Policies (ACLs) DRM, encriptación, …
Sin embargo…
Cualquier software que esté ejecutandose por un usuario tiene los mismos permisos a los datos que el propio usuario
Software Restriction Policies (SRP)
Los administradores controlan la execución en los entornos
Bloquear/Denegar un listado de aplicaciones no autorizadas
Posible pero poco efectivo
Permitir un listado de Software válido
Aplicaciones, librerías, scripts, e instalaciones que permitiremos ejecutarse Software no conocido se bloqueará por defecto
SRP en Windows
Se introdujo en XP y en Windows 2003 Gestionado de manera centralizada por políticas 4 tipos de reglas
Hash, Certificate, Path y Zona
Sin embargo…
Gestion díficil
Los Hashes de las reglas de Hash no sobreviven a aplicaciones actualizadas Las reglas de certificados no utilizaban información del publicador
Difícil de probar en real Implementado en modo Usuario, hacía que fuese mucho menos efectivo
AppLocker en Windows 7
Mejora la gestión
Mejora experiencia de usuario Generación de reglas automáticas Soporte para Auditorías de políticas Soporte para PowerShell
Implementado en modo Kernel
Mejora de la Gestión Nueva experiencia de Usuario
Mejora de la Gestión Autogeneración de Reglas
Microsoft Confidential
Mejora de la Gestión Reglas de Publicación
Microsoft Confidential
Mejora de la Gestión PowerShell
Escenario: Después de auditar una política durnate 2 semanas, queremos analizar los logs para ajustar la política. De esta manera podremos estar seguros a la hora de forzar la política en nuestra organización
Descarga y análisis de Logs
Get-AppLocker FileInformation
Crear una nueva política de prueba
NewAppLocker Policy
Ver que ficheros correrán
TestAppLocker Policy
Aplicar la política
SetAppLocker Policy
Mejora de la Gestión
Implementación simplificada con el modo Audit-Only Excepciones Condiciones de Usuarios dentro de Reglas Mensajes de Error personalizados
Digital Assets scenario with AppLocker
© 2009 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
