Windows 7 Security

Paulo Dias
IT Pro Evangelist Microsoft pdias@microsoft.com http://blogs.technet.com/pdias

Fernando Guillot
IT Pro Evangelist Microsoft fernando.guillot@microsoft.com http://blogs.technet.com/guillot

Agenda
UAC y los Usuarios normales Bitlocker y Bitlocker ToGo Applocker

UAC y los Usuarios Normales en Windows 7

El verdadero motivo de UAC

El objetivo ltimo: todos corriendo cmo usuario Normal Porqu? Seguridad: Applicaciones vulnerables = mquina vulnerable TCO: Los usuarios no podrn romper sus mquinas tan fcilmente Manageability: Usuarios no podrn romper las polticas Cmo llegamos all? Sencillo: Reprograma todas tus aplicaciones para que funcionen con usuarios Normales

UAC cmo tecnologa de Transicin

Cambiar miles de aplicaciones a la vez puede resultar bastante problemtico UAC es una tecnologa de transicin
Es una manera ms suave de llegar a los usuarios normales Muchas de las aplicaciones que no funcionaran cmo un usuario normal seguirn funcionando con UAC

Tipos de usuarios en Vista y Win7

El Administrador: llamado Administrador Un Administrador: tu usuario con permisos de administrador Modo Aprobacin: tu usuario con acceso fcil a los privilegios de Administradores Usuarios Normal: Usuario sin permisos de administrador
Mucho ms seguro, pero Cuenta conveniente, esto ir menos por defecto Mejorando en las siguientes versiones. Se tiende a que Este usuario sea el de por defecto

UAC en Windows 7
Similar al UAC de Vista
Muchas interrupcines al usuario elimindas, haciendo que todo el mundo las pueda hacer

La configuarcin de UAC son plenamente visibles en el panel de control

En vista haba que entrar en el Registro
Demo

Porqu nos interrumpe UAC?

Windows sola ejecutar todo con cuentas Administradoras por defecto

Los programadores hacan lo que fuese para que sus procesos hiciensen el trabajo lo ms rpido posible Algunas de estas cosas eran manipulacin de privilegios de recursos, algunas veces incluso sin saberlo

Esto es cierto para desarrolladores dentro de MS y aplicaciones de terceros.

Porqu Interrumpir?
Elevaciones de UAC

Lo que puede hacer un Admin

Esto permite al usuario Realizar operaciones Elevadas cuando Lo necesite

Cosas puede usuario Lo que que un hacer Normal necesita hacer Un Usuario normal

Mientras, nos interrumpen para indicar que estas son operaciones no queremos que se ejecuten sin nuestro consentimiento

Qu son estas elevaciones?

Algunas son necesarios
Instalar o desinstalar software Cambiar configuracin del Firewall Cambiar la hora del sistema

Algunas no son necesarias

Uso incorrecto y innecesario de ramas de registro Cambio de huso horario Ver sin modificar configuraciones del sistema

Mitos de UAC
Todo el mundo deshabilita UAC Windows interrumpe demasiado Cuanto hay de mito? Cuanto de Realidad?

La mayora de los Usuarios deshabilita UAC?

UAC est habilitado para el 88% de los usuarios Si tu estrategia de desarrollo es esperar a que UAC desaparezca tal vez sea hora de reconsiderar

Cuanto Interrumpe UAC?

Medir las Interrupciones por sesin Sesin:
Empieza con el logon del usuarios Acaba con el logoff del usuario o a las 24horas La media de sesin es de 8.2 horas

Interrupciones por sesin en RTM, SP1, Consumer y Enterprise

Mejora de las aplicaciones en el tiempo

Ms informacin

Windows 7 Blog
General http://blogs.msdn.com/e7/ Especifico de UAC http://blogs.msdn.com/e7/archive/2008/10/08/ user-account-control.aspx

Protegiendo tu entorno en Windows 7 con Bitlocker y Bitlocker to Go

Qu vamos a cubrir?
Capacidades de BitLocker Encrypt FAT data volumes and removable storage devices Recuperacin de datos encryptados

BitLocker

+
Extiende la encriptacin de los discos duros a los dispositivos externos Creacin de polticas de grupo para obligar al uso de encriptacin y bloqueo de dispositivos no encriptados Simplificar la instalacin y configuracin de la encriptacin en el disco primario

Nuevas funcionalidades de BitLocker

BitLocker
Mejora en la Instalacin Particin de 200Mb Oculta Nuevo protector de Llaves

BitLocker To Go
Soporte para FAT Protectores: DRA, passphrase, smart card and/or auto-unlock Nuevas GPOs para mejorar la gestin en organizaciones Disponibilidad por Edicin Lector de Bitlocker To Go (para versiones anteriores)

Trusted Platform Module (TPM)

TPM BIOS TCG BIOS Specification Physical presence interface Memory overwrite on reset Immutable CRTM or secure update USB Hard Disk

Version 1.2 o superior

www.trustedcomputinggroup.org/specs/TPM www.trustedcomputinggroup.org/specs/PCClient

System boot from USB 1.x and 2.x

Requires at least two partitions

USB read/write in pre-operating

system environment

Separate partitions for System and OS

DEMO
Encryptar un dispositivo en formateado con FAT Configurar Bitlocker to Go por polticas

Disk Layout and Key Storage

Volumen del S.O.
Contiene encriptado El Sistema Operativo El fichero de Paginacin Ficheros temporales Datos Fichero de Hibernacin

Donde est la Clave de Encriptacin?

1. SRK (Storage Root Key) en el TPM

2. SRK encripta el VMK (Volume Master Key)

3. VMK encripta el FVEK (Full Volume Encryption Key) usado para los datos actuales de encriptacin 4. FVEK y VMK se almacenan encriptados en el volumen del Sistema Operativo

2 Volumen del Sistema 4 Operativo

Sistema

BitLocker on Removable Drives

Tipo de Dispositivo Removable data drives USB flash drives External hard drives Metodos de desbloqueo Passphrase Smart card Automatic unlocking Metodos de Recuperacin Recovery password Recovery key Active Directory backup of recovery password Data Recovery Agent Gestin Robust and consistent group policy controls Ability to mandate encryption prior to granting write access Systema de Ficheros NTFS FAT FAT32 ExFAT

Gestionando BitLocker en dispositivos Externos

Escenarios de recuperacin
Prdida u Olvido de cdigos Actualizacin de los ficheros raiz Hardware estropeado

Ataque deliberado

Metodos de recuperacin
Develop Strategy Active Directory Data Recovery Agents

Windows Recovery Environment

DEMO
Recuperar un dispositivo FAT32 Gestionar y desencriptar un disco protegido con Bitlocker

Resumen
Capacidades de Bitlocker Encriptacin de discos con BitLocker y Bitlocker To Go Data Recovery Agent (DRA)

AppLocker en Windows 7

Problemtica con Applicaciones

Aumento en el coste de soporte debido a
Applicaciones/Versiones no soportadas Entornos no estandarizados

Problemas de licenciamiento de software

Applicaciones no lincenciadas End user license agreements (EULA)

Problemas de hurto digital

Malware Troyanos Ingeniera social

Formas de proteccin
Formas tradicionales
Uso de Usuarios Normales, autenticacin fuerte, Anti-virus, firewall, IDS, Control de acceso a datos por polticas
Access Control Policies (ACLs) DRM, encriptacin,

Sin embargo
Cualquier software que est ejecutandose por un usuario tiene los mismos permisos a los datos que el propio usuario

Software Restriction Policies (SRP)

Los administradores controlan la execucin en los entornos
Bloquear/Denegar un listado de aplicaciones no autorizadas
Posible pero poco efectivo

Permitir un listado de Software vlido

Aplicaciones, libreras, scripts, e instalaciones que permitiremos ejecutarse Software no conocido se bloquear por defecto

SRP en Windows
Se introdujo en XP y en Windows 2003 Gestionado de manera centralizada por polticas 4 tipos de reglas
Hash, Certificate, Path y Zona

Sin embargo
Gestion dficil
Los Hashes de las reglas de Hash no sobreviven a aplicaciones actualizadas Las reglas de certificados no utilizaban informacin del publicador

Difcil de probar en real Implementado en modo Usuario, haca que fuese mucho menos efectivo

AppLocker en Windows 7
Mejora la gestin
Mejora experiencia de usuario Generacin de reglas automticas Soporte para Auditoras de polticas Soporte para PowerShell

Implementado en modo Kernel

Mejora de la Gestin Nueva experiencia de Usuario

Mejora de la Gestin Autogeneracin de Reglas

Microsoft Confidential

Mejora de la Gestin Reglas de Publicacin

Microsoft Confidential

Mejora de la Gestin PowerShell

Escenario: Despus de auditar una poltica durnate 2 semanas, queremos analizar los logs para ajustar la poltica. De esta manera podremos estar seguros a la hora de forzar la poltica en nuestra organizacin

Descarga y anlisis de Logs

Get-AppLocker FileInformation

Crear una nueva poltica de prueba

NewAppLocker Policy

Ver que ficheros corrern

TestAppLocker Policy

Aplicar la poltica
SetAppLocker Policy

Mejora de la Gestin
Implementacin simplificada con el modo Audit-Only Excepciones Condiciones de Usuarios dentro de Reglas Mensajes de Error personalizados

Digital Assets scenario with AppLocker

 2009 Microsoft Corporation. All rights reserved.

This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.