Este documento describe cómo Directorio Activo puede usarse como base para la seguridad en el escritorio. Explica cómo DA permite la gestión centralizada de usuarios y equipos, políticas de grupo, autenticación Kerberos y SSO. También cubre ejemplos de aplicaciones como RMS para proteger documentos sensibles, y herramientas gratuitas como MBSA y WSUS para análisis de vulnerabilidades y gestión de parches.
1. Seguridad en el escritorio y con
Directorio Activo
Osvaldo Casagrande
osvaldo@iss.com.py
Information Security Services
ocasagrande@diviserv.com
DiviServ S.A
2. Agenda
Estrategia de Seguridad
Directorio Activo como base de seguridad
Ejemplos de aplicaciones
Herramientas de uso para el uso gratuito
3. Defensa en Profundidad
Datos ACL, encriptación
Código seguro, fortificación,
Aplicacion antivirus…
Servidor Fortificación host, gestión de
actualizaciones, autenticación
Red Interna Network segments, IPSec, NIDS
Perímetro Firewalls, VPN quarantine
Seguridad Física Guardas, cierres, dispositivos de
vigilancia
Directivas, Procedimientos y
concienciación. Formación
4. Capacidades de un Servicio
Consistente &
Repetible
Procesos
Tecnología Gente
Automatización via Roles y
Productos, Herramientas Responsabilidades
definidos con los
skills adecuados
5. Agenda
Estrategia de seguridad
Directorio Activo como base de seguridad
Ejemplos de aplicaciones
Herramientas de uso para el uso gratuito
6. Gestión centralizada de la seguridad
Uno a Muchos: gestión de usuarios y equipos
Group Policy
GPOs para:
Active
Directory
Gestionar configuración de Staff de TI
servidores, equipos cliente
y grupos de usuarios
Forzado de políticas de IT
Puesta en práctica
consistente de la A Muchos Usuarios
configuraciones de
seguridad a lo largo de la
empresa
A muchos
Escritorios y
Servidores.
7. Seguridad en Directorio Activo
Gestión centralizada de usuarios y equipos
Administración delegada
Políticas de grupo
Simplificar la gestión del acceso a la red
Autentificación Kerberos
SSO para recursos de red y algunas
aplicaciones de terceros como SAP
Disponibilidad: Replicación multimaster
8. DA: Seguridad
Automatizar el bloqueo de sistemas Windows
Plantillas de seguridad
Prevenir que los usuarios modifiquen
configuraciones de los puestos
Políticas de Restricción de Software
Auditoría de cambios y Eventos
9. Contraseña fuerte y Credenciales de Logon
Control granular de la política de contraseñas
Historia, antiguedad, longitud min/max, complejidad
Politica de contraseña diferente para usuarios
especiales (Administrador del dominio y
cuentas de servicio)
Definir políticas de bloqueo de cuenta
Duración, umbral
Permitir uso de autntificación de dos factores
Smartcards, biometricos, otros tokens
10. Infraestructura para conexiones seguras
Wireless VPN
LAN Gateway
Exchange
SQL Forefront
File Sharing Server TMG
LAN
Conectividad de Red Segura Web
UNIX Services
Application Gestión de Seguridad y Operaciones
IPSEC
Menor TCO Reducción del riesgo de
Menos identidades y Directorios a accesos no-autorizados
gestionar Autentificación segura mediante
Login único desde puestos-cliente Active Kerberos y PKI
a datos en red Non-AD
Directory Verificación de Identidades única o
Directory sincronizada
Políticas de Seguridad
Active Directory
11. Infraestructura para Conexiones seguras
Mejoras en acceso y securización de Aplicaciones
Web Server
Seguro “por defecto”, aislamiento de procesos
Monitorización de estado, autentificación y
autorización
PKI
Implementación de Wireless LAN
EAP, PEAP, TLS, 802.1x con auto-asignación,
password o implementación de Certificados
Control de Acceso a la Red (NAP)
12. PKI
Razones para implantar PKI
Implantación de Wireless
Seguridad de Red
Protección de contenidos
Cifrado de correo
Firma digital
Cifrado de comunicación entre servidores y/o clientes
S/MIME, VPN, IPSEC, EFS, Smartcard logon, SSL/TLS, digital signatures
Instalación e implementación de PKI más sencilla
Instalación más sencilla y administración integrada con AD
Escenario flexible: edición de plantillas de Cert, delta CRL, archivado y
restauración de claves
Integración de SSL con Web server
Transparente para usuarios
Emisión automática de Certificados vía Group Policy
Smart cards “para todo”
Admins, Terminal Services, RAS (forzado con Policies)
13. Recordemos: Redes y Seguridad
El usuario requiere
acceso al puerto
El dispositivo reenvía al
El “switch” pregunta por NPS el estado de SALUD
las credenciales del
usuario
NAP evalúa los detalles de
conexión contra las
políticas
También reenvía las
credenciales de
autenticación al AD
El dispositivo permite el Si la política concuerda, and
acceso y el usuario es autenticado,
el acceso es permitido
15. RMS Escenarios de uso
Mantener la infiormación interna … dentro…
Outlook
Email Seguro: Matiene correos ejecutivos fuera de internet
No-reenviar Reducir el reenvio de información confidencial
Plantillas para centralizar políticas
Email
Word, Excel,
Powerpoint 2003/2010
Secure Workflows: Control de accesos a planes sensibles
Proteger Archivos Establecer nivel de acceso: vista,
cambio, imprimir, etc.
Sensitvos Determinar duración del acceso
IE con RMA
Secure Workflows: Protegercontenido financiero, legal, HR
Proteger Contenido Establecer nivel de acceso: vsta, imprimir,
exportar
de Intranet
16. Agregar a los
usuarios el
permiso de Verificar
Lectura existencia via
y Cambio AD
Agregar
permisos
avanzados
17. Agregar/Remover
usuarios
adicionales
Definifr
Fecha de
expiracion Contactar por
permisos
adicionales
Habilitar
permisos de
impresion,
copia
19. Manejo de componentes de Internet Explorer
Evitar la instalación y empleo de Componentes en el Explorador
20. Agenda
Estrategia de Seguridad
Directorio Activo como base de seguridad
Ejemplos de aplicaciones
Herramientas de uso para el uso gratuito
21. MBSA Y WSUS
Análisis de Vulnerabilidades
Patch management
Reportes.
22. Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.