Trustworthy Computing La apuesta presente y futura de Microsoft Hector Sanchez Montenegro Director de Seguridad Corporativa Director de Ingeniería de Preventa

Trustworthy ComputingTrustworthy ComputingLa apuesta presente y futura La apuesta presente y futura de Microsoftde MicrosoftHector Sanchez MontenegroHector Sanchez MontenegroDirector de Seguridad CorporativaDirector de Seguridad Corporativa

Director de Ingeniería de PreventaDirector de Ingeniería de Preventa

Microsoft Ibérica, SRLMicrosoft Ibérica, SRL

““Trustworthy Computing”Trustworthy Computing”“… “… is computing that is available, reliable and is computing that is available, reliable and secure as electricity, water services and telephony secure as electricity, water services and telephony … “… ““… “… we need to make it automatic for customers to we need to make it automatic for customers to get the benefits of these fixes. Eventually our get the benefits of these fixes. Eventually our software should be so fundamentally secure that software should be so fundamentally secure that customers never even worry about it … “customers never even worry about it … “

“… “… So now, when we face a choice between So now, when we face a choice between adding features and resolving security issues, we adding features and resolving security issues, we need to choose security… “ need to choose security… “

“…“…Trustworthy Computing is the highest priority Trustworthy Computing is the highest priority for all the work we are doing...”for all the work we are doing...”

Bill Gates (January 2.002)Bill Gates (January 2.002)

““Informática fiable”Informática fiable”“… “… sistemas de información accesibles, seguros como sistemas de información accesibles, seguros como la electricidad, los servicios de distribución de agua, el la electricidad, los servicios de distribución de agua, el

teléfono etc… “teléfono etc… “

“… “… los clientes deben beneficiarse automáticamente de los clientes deben beneficiarse automáticamente de estas correciones. Nuestro software debe ser tan estas correciones. Nuestro software debe ser tan

seguro en esencia que nuestros clientes nunca deban seguro en esencia que nuestros clientes nunca deban preocuparse acerca de el… “preocuparse acerca de el… “

“… “… asi que ahora, cuando afrontemos una elección entre asi que ahora, cuando afrontemos una elección entre añadir una nueva característica o solucionar un problema añadir una nueva característica o solucionar un problema

de seguridad escogeremos la seguridad…de seguridad escogeremos la seguridad…

“…“…Trustworthy Computing es la mayor prioridad en todo Trustworthy Computing es la mayor prioridad en todo el trabajo que desarrollamos...”el trabajo que desarrollamos...”

Bill Gates (January 2.002)Bill Gates (January 2.002)

TWC: No solo seguridad...TWC: No solo seguridad...

TrustWorthy Computing en Microsoft IbéricaTrustWorthy Computing en Microsoft Ibérica

Modificación del comportamiento de Internet Explorer 6.0 SP1 para Modificación del comportamiento de Internet Explorer 6.0 SP1 para facilitar el uso de Certificados Cualificados tal y como los requiere el facilitar el uso de Certificados Cualificados tal y como los requiere el “proyecto del DNI electrónico”. “proyecto del DNI electrónico”.

Se admite desde Marzo del 2003 la auditoria europea “ETSI TS 101 Se admite desde Marzo del 2003 la auditoria europea “ETSI TS 101 456 v1.2.1”, para la inclusión de la root de autoridades de 456 v1.2.1”, para la inclusión de la root de autoridades de certificación en Internet Explorer (además de la exigida hasta la certificación en Internet Explorer (además de la exigida hasta la fecha WEBTRUST). Colegio de Registradores + Accenturefecha WEBTRUST). Colegio de Registradores + Accenture

Análisis, estudio y ajuste entre los requerimientos tecnológicos Análisis, estudio y ajuste entre los requerimientos tecnológicos derivados del cumplimiento de la LOPD y configuraciones de derivados del cumplimiento de la LOPD y configuraciones de seguridad de plataforma Microsoft capaz de almacenar datos. seguridad de plataforma Microsoft capaz de almacenar datos. Publicado y accesible gratuitamente en: Publicado y accesible gratuitamente en: http://www.microsoft.com/spain/seguridadhttp://www.microsoft.com/spain/seguridad

Compartición del código fuente de Windows con el Centro Nacional Compartición del código fuente de Windows con el Centro Nacional de Inteligencia (CNI). Enero, 2004de Inteligencia (CNI). Enero, 2004

““La protección de datos personales: La protección de datos personales: Soluciones en entornos Microsoft®” Soluciones en entornos Microsoft®”

Descargable gratuitamente en formato electrónico desde la WEB de seguridad de Microsoft Ibérica: http://www.microsoft.com/spain/seguridad/

CONTENIDOS (265 páginas)

1 Introducción2 Datos “de carácter personal”3 La ley orgánica de protección de datos de carácter personal4 La legítima toma de posesión de los datos5 Durante la posesion de los datos6 Infracciones Y sanciones7 Conclusión8 La seguridad en sistemas Microsoft9 La aplicación del reglamento de seguridad en los sistemas microsoft®10 Tecnología aplicable a las medidas de nivel básico11 Tecnología aplicable a medidas de nivel medio12 Tecnología aplicable a medidas de nivel alto13 Política de seguridad

Nueva versión: Handbook Microsoft de Seguridad empresarial”: LOPD-ISO17799-LSSI-Firma Digital-Facturación electrónica. Finalización contenidos: Marzo 2004

Marco de Seguridad TWCMarco de Seguridad TWC

Compromiso claro con la seguridadCompromiso claro con la seguridad Miembro activo de la comunidad de seguridadMiembro activo de la comunidad de seguridad Microsoft Security Response Center Microsoft Security Response Center

Arquitectura de seguridad en origenArquitectura de seguridad en origen Reducir las vulnerabilidades en el Reducir las vulnerabilidades en el

códigocódigo

Reducir la superficie de ataqueReducir la superficie de ataque Funcionalidades deshabilitadas por Funcionalidades deshabilitadas por

defectodefecto

Protección, detección, defensa, recuperación, Protección, detección, defensa, recuperación, administraciónadministración

Procesos: Guías de Arquitectura, formaciónProcesos: Guías de Arquitectura, formación

SDSD33 + Comunicación + Comunicación

Seguridad por Seguridad por DiseñoDiseño

Seguridad Seguridad por Defectopor Defecto

Seguridad en Seguridad en el Despliegueel Despliegue

ComunicaciónComunicación

Progresos hasta la fechaProgresos hasta la fecha

Avisos proactivos de los TAM a cuentas Premier MSRC severity rating system Asistencia gratuita telefónica a incidencias virus Plan de emergencia global en fase de diseño www.microsoft.com/spain/seguridad

Office XP: Macros off por defecto No codigo ejemplo instalado por defecto 20 servicios desactivados en Windows 2003 Firewall on por defecto en Windows XP

Herramientas: MBSA, IIS Lockdown, SUS, WU, SMS Value Pack

Guias de securización Guías de arquitectura segura de Windows 2003

Reingenieria de procesos y responsabilidades Review de seguridad del código existente Evaluación externa de productos.

Common Criteria Investigación básica. Nuevos desarrollos.NGSCB

SD3 + Comunicación

Seguridad por Diseño

Seguridad por Defecto

Seguridad en el Despliegue

Comunicación

Seguridad

Virus

Seguridad perimetral

Auditorias

Políticas de seguridad

Cifrado

Redes Privadas Virtuales

Gestion de Parches

Vulnerabilidades

PKI

Firma digitalHackersIntrusiones

Protección de datos

Seguridad física

Exploits

Gestión de Identidades

Scanners

PrivacidadAutoridades

de Certificación

Desarrollo Seguro

Informática de Confianza

Legislación Gestión de derechos digitales

Tecnologías Microsoftpara la protección de datos almacenados

Confidencialidad

Integridad

Autenticación

Disponibilidad

Otros

Tecnologías Microsoftpara la protección de datos en transmisión

Soluciones

Windows Right Management Services

Auth. Manager

MS Operation Manager

Criptoapi/CAPICOM

PKI Windows 2000

MS ISA Server

IPSEC(VPN)–Windows 2000

Windows for Smart Cards

Kerberos

Encrypted File System

MS Application Center

MS Data Center Network Load Balancing

Directorio Activo

Kerberos

L2TP, PPTP…Encrypted File System

MS ISA Server

PKI Windows 2000

L2TP, PPTP…

Criptoapi/CAPICOM

Cluster

MS Base Security Analizer

MS SecurityToolkit

MS Software Update Services

IPSEC(VPN)–Windows 2000

Kerberos

QoS-Windows2000

MS ISA Server

ACLACL

A destacar …A destacar … Gestión de Updates de SeguridadGestión de Updates de Seguridad

Monitorización del estado de actualizción (MBSA)Monitorización del estado de actualizción (MBSA) Distribución de los Updates de seguridadDistribución de los Updates de seguridad

Software Update ServicesSoftware Update Services SMS ValuePackSMS ValuePack

Gestión de Alertas (Microsoft Operation Management)Gestión de Alertas (Microsoft Operation Management) Gestión de identidadesGestión de identidades

Autenticación… y algo masAutenticación… y algo mas Microsoft Metadirectory Services (MMS)Microsoft Metadirectory Services (MMS) PKI Windows 2003 (EEMA PKI Challenge) + CAPICOMPKI Windows 2003 (EEMA PKI Challenge) + CAPICOM

Windows XP. Políticas de Restricción de Software.Windows XP. Políticas de Restricción de Software. Guías de securización Windows 2003. EscenariosGuías de securización Windows 2003. Escenarios Confidencialidad de la información: Windows Right Management Confidencialidad de la información: Windows Right Management

ServicesServices

Identidad DigitalIdentidad Digital

Servicios de DirectorioServicios de Directorio

AutenticaciónAutenticación AutorizacionAutorizacion PrivacidadPrivacidad

AplicacionesAplicaciones Ap

rovisio

nam

iento

Ap

rovisio

nam

iento

Autenticación … y algo masAutenticación … y algo mas





Productos y Tecnologías usadas Productos y Tecnologías usadas por OTG-por OTG-MicrosoftMicrosoft

Windows Server 2003Windows Server 2003 Servicios de Directorio ActivoServicios de Directorio Activo Servicios de Certificación Servicios de Certificación

(Certificate Server)(Certificate Server) RAS Quarantine Service (RQS) RAS Quarantine Service (RQS) Routing and Remote Access Routing and Remote Access

Service (RRAS)Service (RRAS) Internet Authentication Service Internet Authentication Service

(IAS)(IAS)

Windows XP ProfessionalWindows XP Professional Connection ManagerConnection Manager Connection Manager Connection Manager

Administration Kit (CMAK)Administration Kit (CMAK) Smart CardsSmart Cards

Certificación Digital: Certificación Digital: Algunas aplicaciones Algunas aplicaciones Microsoft consumidoras de certificadosMicrosoft consumidoras de certificados

Microsoft OfficeMicrosoft Office

Microsoft OutlookMicrosoft Outlook


Microsoft Outlook Web Access (OWA)Microsoft Outlook Web Access (OWA)


Enumeration types used with CAPICOM.Enumeration Types

Interfaces that allow derivations of CryptoAPI to work together with CAPICOM 2.0.

Interoperability Interfaces

Objects used to change default behaviors and to manage certificates, certificate stores, and user interface (UI) messages.

Auxiliary Objects

Objects used to encrypt data and to decrypt encrypted data.Data Encryption Objects

Objects used to create enveloped data messages for privacy and to decrypt data in enveloped messages.

Enveloped Data Objects

Objects used to digitally sign data and to verify digital signatures.Digital Signature Objects

Objects available for using certificate stores and the certificates in those stores.

Certificate Store Objects

DescripciónCategoria

CAPICOMCAPICOM: Proporciona servicios que permiten a los desarrolladores de aplicaciones añadir facilmente seguridad criptográfica a sus aplicaciones. CryptoAPI incluye funcionalidades para autenticación utilizando certificados, sobres digitales, cifrado y descifrado de datos etc..

Certificación Digital: Certificación Digital: Algunas Algunas aplicaciones Microsoft consumidoras de certificadosaplicaciones Microsoft consumidoras de certificados

Represents the certificate extension template of the certificate.Template

Provides the properties and methods to choose, manage, and use certificate stores and the certificates in those stores.Store

Represents a public key in a Certificate object.PublicKey

Represents a private key.PrivateKey

Represents a collection of Extension objects.Extensions

Represents a single certificate extension.Extension

Represents a Microsoft-extended property.ExtendedProperty

Represents a collection of ExtendedProperty objects.ExtendedProperties

Creates and checks a certificate validation chain based on a digital certificate.Chain

Provides status information on a certificate.CertificateStatus

Collection of Certificate objects.Certificates

A collection of PolicyInformation objects.CertificatePolicies

A single digital certificate.Certificate

DescripciónObjecto

Enumeration TypesEnumeration Types

Interoperability InterfacesInteroperability Interfaces

Auxiliary ObjectsAuxiliary Objects

Data Encryption ObjectsData Encryption Objects

Enveloped Data ObjectsEnveloped Data Objects

Digital Signature ObjectsDigital Signature Objects

Certificate Store Objects



DescripciónObjecto






Digital Signature Objects

Certificate Store ObjectsCertificate Store Objects


Collection of Signer objects.Signers

Information on a single data signer, including the signer's certificate.

Signer

Object used to sign data and to verify the signature on signed data.

SignedData

Provides functionality for signing content with an Authenticode digital signature.

SignedCode


DescripciónObjecto





Enveloped Data Objects




Collection of the Certificate objects of the intended recipients of an enveloped message.

Recipients

Objects used to create, send, and receive enveloped data. Enveloped data is encrypted so that only the intended recipients can decrypt it.

EnvelopedData


DescripciónObjecto




Data Encryption Objects





Objects used to encrypt data. Encrypted data in an EncryptedData object can be decrypted.

EncryptedData


DescripciónObjecto



Auxiliary Objects






……………………………………………………………………………..………….…

Provides read-only access to key usage properties of certificates.KeyUsage

Provides functionality for applying a hash algorithm to a string.HashedData

Provides read-only access to the extended key usage properties of certificates.

ExtendedKeyUsage

Represents a block of encoded data.EncodedData

Collection of EKU objects.EKUs

Provides access to EKU properties of certificates.EKU

Provides read-only access to basic constraints on the uses of a certificate.

BasicConstraints

Collection of Attribute objects.Attributes

Provides a single piece of added information about a signature, such as the time of signing.

Attribute

Sets the algorithm and key length to be used in cryptographic operations.

Algorithm


DescripciónInterface


Interoperability Interfaces







Provides access to the context of a CAPICOM Chain object. This context allows the CAPICOM certificate trust chain to be used in other derivations of CryptoAPI.

IChainContext

Provides access to the context of a CAPICOM Store object. This context allows the CAPICOM certificate store to be used in other derivations of CryptoAPI.

ICertStore

Provides access to the context of a CAPICOM X.509v3 Certificate object. This context allows the CAPICOM certificate to be used in other derivations of CryptoAPI.

ICertContext


Enumeration Types








…………………………………………………………………..

CAPICOM_EXPORT_FLAG

CAPICOM_ERROR_CODE

CAPICOM_ENCRYPTION_KEY_LENGTH

CAPICOM_ENCRYPTION_ALGORITHM

CAPICOM_ENCODING_TYPE

CAPICOM_EKU

CAPICOM_CHECK_FLAG

CAPICOM_CHAIN_STATUS

CAPICOM_CERTIFICATES_SAVE_AS_TYPE

CAPICOM_CERTIFICATE_SAVE_AS_TYPE

CAPICOM_CERTIFICATE_INCLUDE_OPTION

CAPICOM_CERTIFICATE_FIND_TYPE

CAPICOM_CERT_INFO_TYPE

CAPICOM_ATTRIBUTE

CAPICOM_ACTIVE_DIRECTORY_SEARCH_LOCATION


Microsoft Identity Integration Server (MIIS)Microsoft Identity Integration Server (MIIS)


Proporciona servicios que permiten la sincronización y el Proporciona servicios que permiten la sincronización y el “provisioning” de información de identidades a través de una extensa “provisioning” de información de identidades a través de una extensa cantidad de almacenamientos y sistemascantidad de almacenamientos y sistemas

MIIS contiene los “Management Agents” que permiten la Integración MIIS contiene los “Management Agents” que permiten la Integración con varios tipos diferentes de repositorios. con varios tipos diferentes de repositorios.

Ejemplo de las capacidades de conectividad de MIIS:Ejemplo de las capacidades de conectividad de MIIS:

Tipo de Sistema Ejemplos

Network Operating Systems &Directory Services

Microsoft Windows NT®, Active Directory®, Active Directory Application Mode, Novell eDirectory, SunONE/iPlanet Directory, X.500 systems and other metadirectory products

E-mail Systems Lotus Notes & Domino, Microsoft Exchange 5.5

Application Systems PeopleSoft, SAP, ERP, telephone switches, XML & DSML based systems

Database Systems Microsoft SQL Server, Oracle, IBM DB2, Informix, Sybase, OLE/DB based systems

File-based Systems DSMLv2, LDIF, CSV, delimited, fixed width, attribute value pairs, etc.

Gestión de IdentidadesGestión de Identidades Demasiados repositorios de Demasiados repositorios de

usuariosusuarios

Source: META Group research conducted on behalf of PricewaterhouseCoopers, June 2002Source: META Group research conducted on behalf of PricewaterhouseCoopers, June 2002

Provisionamiento de Provisionamiento de cuentas ineficientecuentas ineficiente

6868

RepositoriosRepositoriosInternosInternos

1212RepositoriosRepositorios

ExternosExternos

75%75% Usuarios “existen” enUsuarios “existen” enmas de un repositoriomas de un repositorio

34%34%Del tiempo total de IT dedicado Del tiempo total de IT dedicado a administración de usuariosa administración de usuarios

1616 Número medio de repositoriosNúmero medio de repositoriosen los que se provisiona un usuarioen los que se provisiona un usuario

45% de las llamadas a un help desk son para reestablecimiento de paswords45% de las llamadas a un help desk son para reestablecimiento de paswords El 15% de los usuarios llamarán para un reset de la passwordEl 15% de los usuarios llamarán para un reset de la password Las Organizaciones manejan de media 46 proveedores y se empleanLas Organizaciones manejan de media 46 proveedores y se emplean

1380 horas gestionando cambios para modificar privilegios de acceso.1380 horas gestionando cambios para modificar privilegios de acceso.

Coste de operación de IT en aumentoCoste de operación de IT en aumento



Proporciona servicios que permiten la sincronización y el Proporciona servicios que permiten la sincronización y el “provisioning” de información de identidades a través de una extensa “provisioning” de información de identidades a través de una extensa cantidad de almacenamientos y sistemascantidad de almacenamientos y sistemas

MIIS contiene los “Management Agents” que permiten la Integración MIIS contiene los “Management Agents” que permiten la Integración con varios tipos diferentes de repositorios. con varios tipos diferentes de repositorios.

Ejemplo de las capacidades de conectividad de MIIS:Ejemplo de las capacidades de conectividad de MIIS:

Tipo de Sistema Ejemplos

Network Operating Systems &Directory Services

Microsoft Windows NT®, Active Directory®, Active Directory Application Mode, Novell eDirectory, SunONE/iPlanet Directory, X.500 systems and other metadirectory products

E-mail Systems Lotus Notes & Domino, Microsoft Exchange 5.5

Application Systems PeopleSoft, SAP, ERP, telephone switches, XML & DSML based systems

Database Systems Microsoft SQL Server, Oracle, IBM DB2, Informix, Sybase, OLE/DB based systems

File-based Systems DSMLv2, LDIF, CSV, delimited, fixed width, attribute value pairs, etc.

Guías de seguridad de Guías de seguridad de Windows Server 2003 Windows Server 2003 La necesidadLa necesidad

El 95% de todos los problemas de seguridad son debidos a El 95% de todos los problemas de seguridad son debidos a malas configuraciones (CERT 2002)malas configuraciones (CERT 2002)

Microsoft soluciónMicrosoft solución Ofrece guias prescriptivas que reducen los riesgos de seguridad Ofrece guias prescriptivas que reducen los riesgos de seguridad

en función del role del servidor en función del role del servidor Construidas por Microsoft, Partners, y Agencias de Seguridad y Construidas por Microsoft, Partners, y Agencias de Seguridad y

probadas en profundidad por PricewaterhouseCoopers.probadas en profundidad por PricewaterhouseCoopers. Proporcionan templates de seguridad predefinidos, Proporcionan templates de seguridad predefinidos,

herramientas de gestión, metodologias de arquitectura, y herramientas de gestión, metodologias de arquitectura, y configuraciones para maximizar la seguridad de una configuraciones para maximizar la seguridad de una organizaciónorganización

BeneficiosBeneficios Son soluciones ya probadas para fortalecer la seguridadSon soluciones ya probadas para fortalecer la seguridad Reducción de costes en el despliegue seguro de Reducción de costes en el despliegue seguro de

infraestructurasinfraestructuras

“El 32% de los peores incidentes de seguridad son causados por empleados; 48% en grandes compañías!” - Information Security Breaches Survey 2002, PWC

“Las compañías del Fortune 1000 perdieron mas de $45 billion debido al robo de información confidencial en 1999.” – “Trends in Proprietary Information Loss” report, ASIS/PWC, 2000

“El robo de informacióon confidencial provoca los mayores daños financieros de todos los problemas de seguridad.” – CSI/FBI Computer Crime and Security Survey, 2001

Perímetros de Seguridad, ACLs, PKIs, son tecnologías imprescindibles pero no resuelven totalmente este problema

Gestión de Derechos digitales (RMS)Gestión de Derechos digitales (RMS)

Windows Rights Management ServicesWindows Rights Management Services

Windows Media Rights Manager v1, v7,

9 Series (1997 ff)

Digital Asset Server(2000)

Windows Rights Management Services for Windows Server 2003

Evolución de los escenarios de uso y valor para la empresaEvolución de los escenarios de uso y valor para la empresa

User experience

Windows Media® Player & licensees of Windows Media Format SDK

Rights Management Category:

Digital Rights Management

Enterprise benefits:

Protection of both live and on-demand streamed audio and video files (e.g. sensitive internal or external audio/video communications, on-demand training, and corporate meetings

User experience

Microsoft Reader


Digital Rights Management


Not an enterprise-focused solution

User experience

Users engage rights-protected content via a browser or with RM-enabled applications.


Enterprise Rights Management


Allows for flexible and persistent policy expression and enforcement for information: material drawn from database or content management queries, e-mail messages, documents, spreadsheets, other Web content

Tecnologías actuales de Rights Management

Mayor flexibilidad para los escenarios corporativos, nuevas oportunidades de

negocio

Lo que Rights ManagementLo que Rights Managementno puede evitar …no puede evitar …

Conclusiones …Conclusiones … TrustWorthy Computing es una firme y TrustWorthy Computing es una firme y

PRIORITARIA iniciativa corporativa que busca el PRIORITARIA iniciativa corporativa que busca el máximo nivel de confianza de los usuarios de máximo nivel de confianza de los usuarios de tecnología ITtecnología IT

Las características y capacidades tecnológicas Las características y capacidades tecnológicas de seguridad implícitas en plataforma Microsoft de seguridad implícitas en plataforma Microsoft aumentan a un ritmo muy elevado. Los mayores aumentan a un ritmo muy elevado. Los mayores avances entre versiones se producen en avances entre versiones se producen en Seguridad.Seguridad. P.e- Windows XP – Software Restriction PoliciesP.e- Windows XP – Software Restriction Policies P.e-Windows 2003 – PKI, IPSec, RQS, Guías de P.e-Windows 2003 – PKI, IPSec, RQS, Guías de

Securización W2003, etc..Securización W2003, etc..

Recursos de seguridadRecursos de seguridad

Centralizados en Web de Seguridad de Microsoft Centralizados en Web de Seguridad de Microsoft IbéricaIbérica

http://http://www.microsoft.comwww.microsoft.com/spain/seguridad//spain/seguridad/

© 2003 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.

Documents

Trustworthy Computing La apuesta presente y futura de Microsoft Hector Sanchez Montenegro Director de Seguridad Corporativa Director de Ingeniería de Preventa