Redes seguras con Windows XP Service Pack 2 Josep Lluís Paniagua Jaume Ferré Microsoft MVPs.

Redes seguras con Windows Redes seguras con Windows XP Service Pack 2XP Service Pack 2

Josep Lluís PaniaguaJosep Lluís PaniaguaJaume FerréJaume FerréMicrosoft MVPsMicrosoft MVPs

Redes seguras con Windows Redes seguras con Windows XP Service Pack 2XP Service Pack 2

Josep Lluís PaniaguaJosep Lluís PaniaguaJaume FerréJaume FerréMicrosoft MVPsMicrosoft MVPs

2

AgendaAgenda

Windows Firewall: una red protegidaWindows Firewall: una red protegida

Internet Explorer: navegación seguraInternet Explorer: navegación segura

Outlook Express: gestión de correo seguroOutlook Express: gestión de correo seguro

PollPoll

Tengo Windows XP Service Pack 2 Tengo Windows XP Service Pack 2 instaladoinstalado

Instalaré Windows XP Service Pack 2 Instalaré Windows XP Service Pack 2 durante las próximas semanasdurante las próximas semanas

Espero a tener más información para Espero a tener más información para instalar Windows XP Service Pack 2instalar Windows XP Service Pack 2

No instalaré Windows XP Service Pack 2No instalaré Windows XP Service Pack 2

Una red protegida con el Firewall Una red protegida con el Firewall de Windowsde WindowsEn Windows XP SP2, ICF cambia su En Windows XP SP2, ICF cambia su denominación a “Firewall de Windows”denominación a “Firewall de Windows”

Nuevas funcionalidades:Nuevas funcionalidades:Activado por defecto para todas las conexiones del Activado por defecto para todas las conexiones del ordenadorordenadorNueva configuración global que se aplica a todas las Nueva configuración global que se aplica a todas las conexionesconexionesNuevos cuadros de diálogo para configuraciones localesNuevos cuadros de diálogo para configuraciones localesExcepciones de tráfico para programas específicamente Excepciones de tráfico para programas específicamente indicadosindicadosRestricciones de tráfico según el origenRestricciones de tráfico según el origenSoporte para RPCSoporte para RPCNuevo modo operativoNuevo modo operativoSeguridad desde el arranqueSeguridad desde el arranqueSoporte para IPv6Soporte para IPv6

Activado por defecto en todas las Activado por defecto en todas las conexiones del ordenadorconexiones del ordenadorEn Windows XP SP2, el Firewall de Windows está En Windows XP SP2, el Firewall de Windows está

activado por defecto para todas las conexiones, activado por defecto para todas las conexiones, incluidas:incluidas:

LAN (cable y LAN (cable y wirelesswireless))

Conexiones telefónicasConexiones telefónicas

Virtual private network (VPN)Virtual private network (VPN)

Cualquier nueva conexión llevará activado por defecto Cualquier nueva conexión llevará activado por defecto el Firewallel Firewall

Esta nueva funcionalidad provee más protección pero Esta nueva funcionalidad provee más protección pero puede traer consecuencias a departamentos de IT por:puede traer consecuencias a departamentos de IT por:

Compatibilidad con aplicacionesCompatibilidad con aplicaciones

Manejo remoto de PCs por la redManejo remoto de PCs por la red

Nueva configuración global que se Nueva configuración global que se aplica a todas las conexionesaplica a todas las conexiones

En versiones anteriores al SP2, ICF se debía En versiones anteriores al SP2, ICF se debía configurar por conexión.configurar por conexión.

El Firewall de Windows en Windows XP SP2 El Firewall de Windows en Windows XP SP2 permite configurar las conexiones globalmente:permite configurar las conexiones globalmente:Los cambios son aplicados a todas las conexiones Los cambios son aplicados a todas las conexiones de redde red

Además permite configuraciones específicas Además permite configuraciones específicas por conexión: por conexión: Una configuración específica de una conexión Una configuración específica de una conexión sobrescribe la configuración global.sobrescribe la configuración global.

Nuevos cuadros de diálogo para Nuevos cuadros de diálogo para configuraciones localesconfiguraciones locales

Es posible configurar: Es posible configurar: Configuraciones GeneralesConfiguraciones GeneralesConfiguraciones específicas por Configuraciones específicas por conexiónconexiónConfiguración del Configuración del loglogPermitir tráfico ICMPPermitir tráfico ICMPPermisos para programas y Permisos para programas y serviciosservicios

Windows XP SP2 reemplaza el sencillo Windows XP SP2 reemplaza el sencillo cuadro de ICF por un acceso directo cuadro de ICF por un acceso directo en el Panel de Controlen el Panel de Control

Excepciones de tráfico por nombre de Excepciones de tráfico por nombre de programaprograma

En anteriores versiones esta configuración debía ser En anteriores versiones esta configuración debía ser hecha manualmentehecha manualmenteDifícil para usuarios que no conocían TCP/IP a fondo. Difícil para usuarios que no conocían TCP/IP a fondo. No funcionaba para aplicaciones que no escucharan puertos No funcionaba para aplicaciones que no escucharan puertos específicos.específicos.

En Windows XP SP2, la excepciones de tráfico pueden En Windows XP SP2, la excepciones de tráfico pueden ser configuradas para puertos y aplicaciones ser configuradas para puertos y aplicaciones determinadosdeterminadosEl Firewall monitoriza los puertos que la aplicación escucha y los añade El Firewall monitoriza los puertos que la aplicación escucha y los añade automáticamente a la lista de trafico entrante permitido.automáticamente a la lista de trafico entrante permitido.El mecanismo de notificación permite a los administradores locales El mecanismo de notificación permite a los administradores locales añadir automáticamente las nuevas excepciones.añadir automáticamente las nuevas excepciones.

El Firewall de Windows incluye excepciones El Firewall de Windows incluye excepciones preconfiguradas para las aplicaciones más comunes:preconfiguradas para las aplicaciones más comunes:Compartir archivos e impresoras.Compartir archivos e impresoras.Universal Plug and Play.Universal Plug and Play.

Soporte RPCSoporte RPC

RPC abre varios puertos y expone diferentes RPC abre varios puertos y expone diferentes servidores en ellos. servidores en ellos.

El Firewall de Windows acepta llamadas a estos El Firewall de Windows acepta llamadas a estos servicios RPC sólo si el que los solicita ejecuta en servicios RPC sólo si el que los solicita ejecuta en contextos Local System, Network Service, o Local contextos Local System, Network Service, o Local Service. Service.

El Firewall soporta perfiles que permiten a los puertos El Firewall soporta perfiles que permiten a los puertos RPC ser sólo abiertos si el solicitante está en la lista RPC ser sólo abiertos si el solicitante está en la lista de excepciones.de excepciones.

Las aplicaciones permitidas sobrescriben los Las aplicaciones permitidas sobrescriben los permisos genéricos de RPC. permisos genéricos de RPC.

Restricciones de tráfico según origenRestricciones de tráfico según origen

En versiones anteriores no existía esta En versiones anteriores no existía esta funcionalidad, que ha sido incluida en el funcionalidad, que ha sido incluida en el SP2, y permite filtrar el origen por las SP2, y permite filtrar el origen por las siguientes condiciones:siguientes condiciones:Cualquier dirección IPCualquier dirección IP

Direcciones IP de la misma subredDirecciones IP de la misma subred

Una o más direcciones IP, específicas (solo IPv4)Una o más direcciones IP, específicas (solo IPv4)

Uno o más rangos de direcciones IP (solo IPv4)Uno o más rangos de direcciones IP (solo IPv4)

Nuevo modo operativo Nuevo modo operativo

Este nuevo modo se puede usar:Este nuevo modo se puede usar: En conexiones a Internet desde lugares En conexiones a Internet desde lugares públicos como aeropuertos, hoteles, públicos como aeropuertos, hoteles, convenciones, etc…convenciones, etc…

Desde dentro de la red cuando temporalmente Desde dentro de la red cuando temporalmente sea necesario bloquear las máquinas por sea necesario bloquear las máquinas por ataques imprevistos. ataques imprevistos.

Cuando el Firewall vuelve a su estado original Cuando el Firewall vuelve a su estado original todas las configuraciones previas se todas las configuraciones previas se mantienen.mantienen.

Este modo permite bloquear todo el tráfico entrante, Este modo permite bloquear todo el tráfico entrante, incluso el permitido, con un solo clic.incluso el permitido, con un solo clic.

Seguridad desde el arranqueSeguridad desde el arranque

En versiones anteriores el Firewall no está activo hasta En versiones anteriores el Firewall no está activo hasta que este servicio arranca, lo que produce un retardo que este servicio arranca, lo que produce un retardo en la protección de la máquina, y permite ataques en la protección de la máquina, y permite ataques durante el arranque de la misma.durante el arranque de la misma.

Windows XP SP2 incluye una política de arranque para el Windows XP SP2 incluye una política de arranque para el Windows FirewallWindows Firewall

Filtrado de paquetes básico que permite arrancar servicios Filtrado de paquetes básico que permite arrancar servicios básicos.básicos.Dynamic Host Configuration Protocol (DHCP)Dynamic Host Configuration Protocol (DHCP)Domain Name System (DNS) Domain Name System (DNS)

Después de que el servicio arranque este usa la configuración Después de que el servicio arranque este usa la configuración del mismo. del mismo.

Si Windows Firewall está desactivado, igualmente funciona.Si Windows Firewall está desactivado, igualmente funciona.

13

Demo Firewall de WindowsDemo Firewall de Windows

Navegación más segura con Navegación más segura con Microsoft Internet ExplorerMicrosoft Internet Explorer• Mejoras en descarga, adjuntos y AuthenticodeMejoras en descarga, adjuntos y Authenticode®®

• Gestor de complementos y detección de Gestor de complementos y detección de problemas problemas

• Barra de información Barra de información

• Gestión de tipos MIMEGestión de tipos MIME

• Caché de objetosCaché de objetos

• Bloqueador de ventanas emergentes Bloqueador de ventanas emergentes

• Publicadores de contenido no fiables Publicadores de contenido no fiables

• Restricciones de ventanaRestricciones de ventana

• Elevación de zona Elevación de zona

Descarga, adjuntos, y mejoras Descarga, adjuntos, y mejoras en Authenticodeen Authenticode

¿En qué consisten estas mejoras?¿En qué consisten estas mejoras?Cambios en los cuadros de diálogo:Cambios en los cuadros de diálogo:

Se ha añadido un nuevo iconoSe ha añadido un nuevo icono

Se ha añadido una área de información en la Se ha añadido una área de información en la parte inferiorparte inferior

Todos los ejecutables descargados validan la Todos los ejecutables descargados validan la información del emisor información del emisor

Después de la descarga, Internet Explorer Después de la descarga, Internet Explorer muestra la información del emisor de la muestra la información del emisor de la descargadescarga

Cuadros de diálogo actualesCuadros de diálogo actuales

Descarga, adjuntos, y mejoras Descarga, adjuntos, y mejoras en Authenticode en Authenticode (2)(2)

Windows XP SP2: nuevos cuadros de diálogoWindows XP SP2: nuevos cuadros de diálogo

Descarga, adjuntos, y mejoras Descarga, adjuntos, y mejoras en Authenticode en Authenticode (3)(3)

¿Qué hace el gestor de complementos y el ¿Qué hace el gestor de complementos y el detector de problemas?detector de problemas?

El gestor de Add-on permite a los usuarios ver los El gestor de Add-on permite a los usuarios ver los controles instalados en Internet Explorercontroles instalados en Internet Explorer

El detector de problemas permite detectar los El detector de problemas permite detectar los complementos que causen problemas en Internet complementos que causen problemas en Internet ExplorerExplorer

Gestor de complementos y Gestor de complementos y detección de problemasdetección de problemas

Interfaz de gestor Interfaz de gestor de complementosde complementos

Gestor de complementos y Gestor de complementos y detección de problemas detección de problemas (2)(2)

Barra de información Barra de información ¿Qué hace la barra de información?¿Qué hace la barra de información?

Reemplaza cuadros de diálogo Reemplaza cuadros de diálogo Contiene textos descriptivos que explican Contiene textos descriptivos que explican por qué la acción se ha realizadopor qué la acción se ha realizadoDispone de un menú sensitivo al contexto Dispone de un menú sensitivo al contexto para que el usuario responda a la para que el usuario responda a la notificaciónnotificación

Tres nuevas configuraciones en la Tres nuevas configuraciones en la zona de seguridad que ayudan a zona de seguridad que ayudan a gestionar la compatibilidad con gestionar la compatibilidad con aplicaciones:aplicaciones:

MIME sniffingMIME sniffing

Elevación de zonaElevación de zona

Restricciones de VentanaRestricciones de Ventana

Configuración de la zona de Configuración de la zona de seguridadseguridad

Configuración de la zona de Configuración de la zona de seguridad seguridad (2)(2)

MIME sniffingMIME sniffing

The following table lists the default values for the URLACTION_FEATURE_MIME_SNIFFING flag in each security zone.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet ExplorerHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_MIME_SNIFFING\Main\FeatureControl\FEATURE_MIME_SNIFFING




HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet ExplorerHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_ZONE_ELEVATION\Main\FeatureControl\FEATURE_ZONE_ELEVATION


¿Qué hace el bloqueo de elevación de ¿Qué hace el bloqueo de elevación de zona?zona?

Muestra mensajesMuestra mensajes““El sitio actual está intentando abrir un archivo El sitio actual está intentando abrir un archivo que está en su lista de sitios de confianza. Si que está en su lista de sitios de confianza. Si confía en este sitio proceda pulsando OK.”confía en este sitio proceda pulsando OK.”

““El sitio actual está en su lista de sitios El sitio actual está en su lista de sitios restringidos y está intentando abrir un archivo restringidos y está intentando abrir un archivo que esta en su ordenador. Le recomendamos que esta en su ordenador. Le recomendamos que no permita esto.”que no permita esto.”

En ambos casos , la acción por defecto no En ambos casos , la acción por defecto no permite la elevación de zona. El usuario debe permite la elevación de zona. El usuario debe permitir explícitamente dicha elevación de zona.permitir explícitamente dicha elevación de zona.


Restricciones de ventanaRestricciones de ventana


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet ExplorerHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_WINDOWS_RESTRICTIONS\Main\FeatureControl\FEATURE_WINDOWS_RESTRICTIONS

Bloqueador de ventanas Bloqueador de ventanas emergentesemergentes

Activado por defecto al instalar SP2Activado por defecto al instalar SP2

Bloqueo automático de pop-upsBloqueo automático de pop-ups

Las ventanas abiertas por el usuario se Las ventanas abiertas por el usuario se siguen abriendosiguen abriendo

Los sitios de confianza y la Intranet local no Los sitios de confianza y la Intranet local no bloquean ventanas ya que se consideran bloquean ventanas ya que se consideran zonas seguraszonas seguras

Configurable en el interfazConfigurable en el interfaz

Configurable en la carpeta Configurable en la carpeta Privacidad,Privacidad, en el menú en el menú Herramientas / Opciones de InternetHerramientas / Opciones de Internet))

Bloqueador de ventanas Bloqueador de ventanas emergentes emergentes (2)(2)

28

Demo Internet ExplorerDemo Internet Explorer

Correo seguro con Outlook ExpressCorreo seguro con Outlook Express

Cambios en la interoperabilidad con Cambios en la interoperabilidad con HTMLHTML

Usa funciones seguras de Internet Usa funciones seguras de Internet ExplorerExplorer

APIs para adjuntosAPIs para adjuntos

Interoperabilidad HTMLInteroperabilidad HTML

Opción de texto planoOpción de texto planoRealmente no es texto plano, es texto Realmente no es texto plano, es texto enriquecidoenriquecido

Filtrado de contenido HTMLFiltrado de contenido HTMLNo se descarga contenido HTML No se descarga contenido HTML automáticamenteautomáticamente

Indicador visualIndicador visualSin sonidos o Sin sonidos o framesframes

Interoperabilidad HTML Interoperabilidad HTML (2)(2)

¿Porqué?¿Porqué?Código malicioso embebidoCódigo malicioso embebidoPrevención de confirmación de IP y e-mailPrevención de confirmación de IP y e-mail

¿Cómo?¿Cómo?Activado por defectoActivado por defectoSe puede modificar desde el menú Se puede modificar desde el menú HerramientasHerramientas

Usa las funcionalidad de Usa las funcionalidad de seguridad de Internet Explorer seguridad de Internet Explorer

ZonasZonas

AES APIAES API

Manejo de ScriptsManejo de Scripts

Manejo de ActiveXManejo de ActiveX®®

Activado por defectoActivado por defecto

Modificable desde el menú HerramientasModificable desde el menú Herramientas

33

Demo Outlook ExpressDemo Outlook Express

34

RecursosRecursos

Windows XP SP2 en TechNet: Windows XP SP2 en TechNet: http://http://www.microsoft.comwww.microsoft.com//latamlatam//technettechnet/productos//productos/windowswindows//windowsxpwindowsxp// Windows XP SP2 en MSDN:Windows XP SP2 en MSDN:http://http://msdn.microsoft.commsdn.microsoft.com//securitysecurity//productinfoproductinfo/xpsp2//xpsp2/default.aspxdefault.aspx

http://www.microsoft.com/latam/technet/productos/windows/windowsxp/











http://msdn.microsoft.com/security/productinfo/xpsp2/default.aspx








Redes seguras con Windows XP Service Pack 2 Josep Lluís Paniagua Jaume Ferré Microsoft MVPs.

Documents

Transcript of Redes seguras con Windows XP Service Pack 2 Josep Lluís Paniagua Jaume Ferré Microsoft MVPs.