Álvaro MorónProduct ManagerWindows Server

alvaromo@microsoft.comJosé Parada Gimeno

Microsoft ITEjparada@microsoft.com

Chema AlonsoMVP Windows Server Security

chema@informatica64.com

Presentación técnica de Windows Server 2003 Service Pack 1

Agenda:

• Introducción• Metas de Windows Server 2003 SP1• Mejoras en la seguridad del Sistema• Mejoras en la seguridad de Red• Opciones para el despliegue• Futuro de Windows Server

Agenda

• Introduction• Goals of Windows Server 2003 SP1• System Security Enhancements• Network Security Enhancements• Service Pack 1 Deployment Options• Windows Server Roadmap

Windows Server Roadmap

Las entregas clave del futuro de Windows Server serán las siguientes:

2005 (1ª mitad)

2006

2005 (2ª mitad)

2007

De 2008 en adelante

Windows Server 2003 SP1 Windows Server 2003 for 64-Bit Extended Systems release Feature packs still to come

Windows Server 2003 "R2" Update Windows Server "Longhorn" Beta 1

Windows Server "Longhorn" Beta 2 Windows Server 2003 SP2

Windows Server "Longhorn"

Windows Server "Longhorn" Service Pack and Update

Agenda

• Introducción• Metas de Windows Server 2003 SP1• Mejoras en la seguridad del Sistema• Mejoras en la seguridad de Red• Opciones para el despliegue• Futuro de Windows Server

Actualizaciones

• Security Patch

• Critical Update

• Update

• Hotfix

• Update Roll-Up

• Service Pack

Niveles de Severidad

TechNet Security Bulletin Search:http://www.microsoft.com/technet/security/current.asp

Rating Definition

CriticalExploitation could allow the propagation of an Internet worm such as Code Red or Nimda without user action

ImportantExploitation could result in compromise of the confidentiality, integrity, or availability of users’ data or of the integrity or availability of processing resources

Moderate

Exploitation serious but mitigated to a significant degree by factors such as default configuration, auditing, need for user action, or difficulty of exploitation

Low Exploitation is extremely difficult, or impact is minimal

Recomendaciones de implantación

Severity Rating

Recommended Patching Time FrameMaximum Recommended

Time Frame

Critical Within 24 hours Within two weeks

Important Within one month Within two months

Moderate

Depending on expected availability, wait for next service pack or patch rollup that includes the patch or deploy the patch within four months

Deploy the software update within six months

Low

Depending on expected availability, wait for next service pack or patch rollup that includes the patch, or deploy the patch within one year

Deploy the software update within one year, or choose not to deploy at all

Agenda

• Introducción• Metas de Windows Server 2003 SP1• Mejoras en la seguridad del Sistema• Mejoras en la seguridad de Red• Opciones para el despliegue• Windows Server Roadmap

Metas de Windows Server 2003 SP1 Motivos para SP1

• Actualizaciones del producto• Mejoras en las Tecnologías de Seguridad• Prevenir contra:

• Acceso innecesario o no solicitado a las aplicaciones y el sistema operativo.

• Viruses• Gusanos

http://www.microsoft.com/downloads/details.aspx?familyid=C3C26254-8CE3-46E2-B1B6-3659B92B2CDE&displaylang=en

Coincidencias con XP SP2

• Incorpora muchas de las funcionalidades de XP SP2 y además:– Security Configuration Wizard– Post-Setup Security Updates

• Iguales a las de XP SP2 pero con diferente comportamiento:– DEP– Windows Firewall– RPC

Agenda

• Introducción• Metas de Windows Server 2003 SP1• Mejoras en la seguridad del Sistema• Mejoras en la seguridad de Red• Opciones para el despliegue• Windows Server Roadmap

Mejoras en la seguridad del SistemaPost Setup Security Updates

• Protección del Servidor durante el periodo en el que se instala el Servidor y la instalación de las últimas actualizaciones.

• Windows Firewall esta activado por defecto si explícitamente no se configura de otra manera durante la instalación.

Mejoras en la Seguridad del SistemaPost Setup Security Updates

Mejoras en la Seguridad del Sistema

Post Setup Security Updates• Se invoca después de:

• Actualización de Windows NT4 a Windows Server 2003 SP1

• Instalación combinada de Windows Server 2003 y SP1

• NO invocada después de:• Actualización desde Windows 2000 a Windows

Server 2003 SP1• Actualización desde Windows Server 2003 a SP1

Mejoras en la Seguridad del Sistema

Data Execution Prevention• Forzada por el hardware y el software• Hardware DEP

• Requiere que el procesador lo soporte o implemente• El procesador marca áreas de la memoria como No

Ejecutable excepto si específicamente contiene código ejecutable.

• Puede causar problemas de compatibilidad.• Software DEP

• Funcionalidad en cualquier procesador que soporte Windows Server 2003

• Protege los binarios del sistema de ataques relacionados con el manejo de las excepciones del sistema.

• Es raro que cause problemas de compatibilidad.

Mejoras en la Seguridad del Sistema Data Execution Prevention

NE NENE

NE = No-Execute

Mejoras en la Seguridad del Sistema Data Execution Prevention

• Se configura en el Boot.ini • /noexecute=PolicyLevel• OptIn – Se habilita el Software DEP. El Hardware DEP solo se activa

para aplicaciones que se configuran específicamente.• OptOut – Se activan tanto el Software DEP como el Hardware DEP.

Solo se deshabilitan para aplicaciones especificadlas en al lista de excepciones.

• AlwaysOn – El Software DEP y el Hardware DEP siempre están habilitadas. Cualquier excepción es ignorada.

• AlwaysOff – El Software DEP y el Hardware DEP están deshabilitadas.

Mejoras en la Seguridad del Sistema

Data Execution Prevention• Interface Grafico

• Etiqueta Data Execution Prevention en el Panel de control | System | Advanced | Performance |

• Se configura la lista de aplicaciones excluidas.• Se deshabilita Hardware DEP

Mejoras en la Seguridad del Sistema

Internet Explorer• Mejoras en Internet Explorer• Funcionalidades en el control de la configuración• Prevención en la elevación de Zona.• Gestion de los Add-on• Barra de Información• Gestión de los Pop-up• Restricciones de Windows• Seguridad en las Descargas

• Windows XP Service Pack 2http://www.microsoft.com/downloads/details.aspx?FamilyId=9300BECF-2DEE-4772-ADD9-AD0EAF89C4A7&displaylang=en

Mejoras en la Seguridad del Sistema

Security Configuration Wizard• No esta instalado por defecto. • Para instalarlo : Panel de Control.

• Add\Remove Programs• Windows Components

Mejoras en la Seguridad del Sistema

Security Configuration Wizard• Identifica puertos abiertos

• El asistente se debe de ejecutar con las aplicaciones requeridas y los servicios arrancados.

• Selecciona el role del servidor de la base de datos de configuración.

• Configura los servicios requeridos.• Configura los puertos para el Firewall de Windows• Configura la seguridad para LDAP y SMB• Configura una política de auditoria• Configura los parámetros específicos de los roles que

tiene el servidor.

Mejoras en la Seguridad del Sistema

Security Configuration Wizard• La configuración se salva en un fichero XML.

• Se aplica por el asistente• Se puede aplicar una política de seguridad

existente a otro equipo.

• Se puede aplicar desde la línea de comando.• scwcmd.exe configure /p:webserverpolicy.xml • Se puede usar en scripts• Sripts de instalación desatendida

Security Configuration WizardSecurity Configuration Wizard

demostracióndemostración

Mejoras en la Seguridad del Sistema

Windows Firewall• Mejoras en el Internet Connection Firewall (ICF)• No habilitado por defecto

• Excepto durante PSSU• Se puede configurar durante la instalación.

http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/depfwset/wfsp2sum.mspx

Mejoras en la Seguridad del Sistema

Windows Firewall

Port 80

App.exe

Mejoras en la Seguridad del Sistema

Windows Firewall• Seguridad durante el proceso de Arranque.• Configuración Global para todos los

adaptadores de Red o específica a cada uno• Se puede configurar para no permitir ninguna

excepción• Múltiples perfiles para entornos móviles.

System Security EnhancementsWindows Firewall

Mejoras en la Seguridad del Sistema

Windows Firewall

Mejoras en la Seguridad del Sistema

Windows Firewall

Windows FirewallWindows Firewall

Cambiar el estado del servicio Windows Cambiar el estado del servicio Windows Firewall/Internet Connection Sharing (ICS) Firewall/Internet Connection Sharing (ICS) para permitir la configuración del Firewall.para permitir la configuración del Firewall.

Configurar el Windows Firewall usando la Configurar el Windows Firewall usando la interfase grafica de usuario la línea de interfase grafica de usuario la línea de comandos y las políticas de grupo.comandos y las políticas de grupo.

demostracióndemostración

Agenda

• Introducción• Metas de Windows Server 2003 SP1• Mejoras en la seguridad del Sistema• Mejoras en la seguridad de Red• Opciones para el despliegue• Windows Server Roadmap

Mejoras en la Seguridad de RedCuarentena VPN

• Cuarentena el la Red Privada Virtual (VPN)• Paso 1 – Autenticación del Cliente• Paso 2 – Acceso a un área restringida de la red• Paso 3 – Chequeo de Seguridad• Paso 4 – Acceso a la red corporativa.

Mejoras en la Seguridad de Red Seguridad RPC

• RPC es un protocolo utilizado por muchos servicios y aplicaciones para las comunicaciones de red

• Mejoras en el SP1• Requiere conexiones autenticadas• NO es compatible con “named pipes”

Mejoras en la Seguridad de Red Seguridad RPC

RPC

Sin AutenticarRPC

Autenticado

Mejoras en la Seguridad de Red Seguridad RPC

• La configuración de Seguridad RPC se configura en la siguiente clave del registro.

\\HKLM\SOFTWARE\Policies\Microsoft\Windows NT\RPC\

• RestrictRemoteClients• EnableAuthEpResolution

http://msdn.microsoft.com/security/productinfo/XPSP2/networkprotection/rpc.aspx

Seguridad de RPCSeguridad de RPC Configura la Seguridad RPC Configura la Seguridad RPC Ver los efectos de la seguridad RPCVer los efectos de la seguridad RPC

demostracióndemostración

Mejoras en la Seguridad de Red Seguridad DCOM

Mejoras en la Seguridad de Red Seguridad DCOM

• Permisos DCOM• Lanzar• Activar• Acceso

Permisos de la Seguridad de RedSeguridad DCOM

• Seguridad para todo el Sistema.• Lo configura el administrador• Afecta a todos los servidores DCOM• Se puede configurar mediante:

• Servicios de Componentes• Políticas de Grupo

Seguridad de DCOM

Investigar los permisos DCOM Demostrar los permisos DCOM de todo el

sistema

demostracióndemostración

Agenda

• Introducción• Metas de Windows Server 2003 SP1• Mejoras en la seguridad del Sistema• Mejoras en la seguridad de Red• Opciones para el despliegue• Windows Server Roadmap

Opciones para el despliegueDespliegue de SP1

• Instalación Manual• “Slipstreaming”• Software de clonación• Instalación mediante Scripts

““Slipstreaming” SP1 para su Slipstreaming” SP1 para su desplieguedespliegue

Crear un recurso compartido para el Crear un recurso compartido para el desplieguedespliegue

Integración del SP1 con el sistema operativo Integración del SP1 con el sistema operativo fuente.fuente.

demonstracióndemonstración

Resumen de la Sesión• El SP1 de Windows Server 2003 incorpora varias mejoras en la seguridad• Estas mejoras nos proporcionara mayor seguridad y nos prevendrán contra ataques.• Las medidas de seguridad nos pueden crear problemas de compatibilidad por lo que tendrán que

ser probadas antes de implementarse.

Próximas Acciones

Para mas información…

www.microsoft.com/technet/tnt1-151

• Visita la web de TechNet en:– www.microsoft.com/technet– www.microsoft.com/spain/technet

• For additional information on books, courses and other community resources that support this session visit

www.microsoft.com/technet/subscriptions

TechNet SubscriptionsHave We Heard the News?Software without time limits! Full-version evaluation software provides more flexibility to TechNet Plus subscribers.

Complimentary technical support. Two free technical support incidents included with each TechNet Plus subscription save we time resolving mission-critical issues.

Have the most current resources on hand to evaluate, implement, and support Microsoft solutions—delivered monthly on CD or DVD, withno dependency on Internet connectivity or firewalls.

Donde puedo conseguir ayuda?• Attend a free chat or Web cast

www.microsoft.com/technet/community/chatswww.microsoft.com/technet/community/webcasts

• List of newsgroupswww.microsoft.com/technet/community/newsgroups

• Microsoft community siteswww.microsoft.com/technet/community

• Community eventswww.microsoft.com/technet/community/events

• Community columnswww.microsoft.com/technet/community/columns