Download - Hispasec defensa virus
Defensa en profundidad contra software
malintencionado (Virus)
Jose Parada (Evangelista Técnico Microsoft) Antonio Ropero (Hispasec) Bernardo Quintero (Hispasec)
Requisitos previos para la sesión
Conocimientos básicos de los fundamentos de la seguridad de las redes
Conocimientos básicos de los conceptos relativos a software malintencionado
Conocimientos básicos sobre soluciones antivirus
Nivel 300
Información general de la sesión
Tipos y características del software malintencionado
Nomenclatura en la identificación del software malintencionado
Técnicas comunes empleadas por las soluciones antivirus
Limitaciones de las soluciones antivirus
Elección de la solución antivirus
Defensa en clientes contra el software malintencionado
Defensa en entornos corporativos contra el software malintencionado
Tipos y características del software malintencionado
Tipos y características del software malintencionado
Nomenclatura en la identificación del software malintencionado
Técnicas comunes empleadas por las soluciones antivirus
Limitaciones de las soluciones antivirus
Elección de la solución antivirus
Defensa en clientes contra el software malintencionado
Defensa en entornos corporativos contra el software malintencionado
Software malintencionado: la familia del malware
Software malintencionado o “malware” (malicious software): término para designar un programa informático que provoca de forma intencionada una acción dañina para el sistema y/o usuario.
Software malintencionado o “malware” (malicious software): término para designar un programa informático que provoca de forma intencionada una acción dañina para el sistema y/o usuario.
Tipos de malwareTipos de malware
definición clásica Virus Gusanos Troyanos Bombas lógicas
definición clásica Virus Gusanos Troyanos Bombas lógicas
ampliación Spyware Backdoors Keyloggers Dialers RootKits Exploits …
ampliación Spyware Backdoors Keyloggers Dialers RootKits Exploits …
evoluciónevolución
Tipos de malware: Virus
Virus: programa informático que puede infectar a otros programas modificándolos para incluir una copia de sí mismo.Virus: programa informático que puede infectar a otros programas modificándolos para incluir una copia de sí mismo.
Virus CIH (alias Chernobil) desarrollado en 1998, en ensamblador, tamaño 1Kb afecta a plataforma Windows 9x infecta archivos Windows PE (Portable Executable) residente en memoria día 26 sobreescribe disco duro y flash-BIOS más de 30 variantes
Virus CIH (alias Chernobil) desarrollado en 1998, en ensamblador, tamaño 1Kb afecta a plataforma Windows 9x infecta archivos Windows PE (Portable Executable) residente en memoria día 26 sobreescribe disco duro y flash-BIOS más de 30 variantes
EjemploEjemplo
Tipos de malware: Gusano
Gusano: programa informático que tiene como fin replicarse, a diferencia de los virus no modifica otros programas.Gusano: programa informático que tiene como fin replicarse, a diferencia de los virus no modifica otros programas.
EjemplosEjemplos
Gusano Netsky distribuye por e-mail, redes P2P, y redes locales falsea dirección remitente doble extensión, terminando en .com, .exe, .pif o .scr
Gusano Netsky distribuye por e-mail, redes P2P, y redes locales falsea dirección remitente doble extensión, terminando en .com, .exe, .pif o .scr
Gusano Sasser no necesita la acción del usuario para infectar desbordamiento de buffer en LSSAS (Win 2000/XP) explotación automática a través del puerto TCP/445
Gusano Sasser no necesita la acción del usuario para infectar desbordamiento de buffer en LSSAS (Win 2000/XP) explotación automática a través del puerto TCP/445
Tipos de malware: Troyano
Troyano: aplicación aparentemente legítima y útil que en realidad realiza acciones dañinas. A diferencia de los virus y los gusanos, no puede autorreplicarse ni infectar archivos.
Troyano: aplicación aparentemente legítima y útil que en realidad realiza acciones dañinas. A diferencia de los virus y los gusanos, no puede autorreplicarse ni infectar archivos.
EjemploEjemploTroyano AIDS (1989) distribución por correo postal en un disquete programa con información sobre SIDA tras varios inicios de sistema, aparecía el troyano cifraba el disco duro e impedía al usuario acceder solicitaba pago al usuario para llave de descifrado
Troyano AIDS (1989) distribución por correo postal en un disquete programa con información sobre SIDA tras varios inicios de sistema, aparecía el troyano cifraba el disco duro e impedía al usuario acceder solicitaba pago al usuario para llave de descifrado
Con el tiempo el término troyano se convirtió en un comodín utilizado para todo tipo de malware que no podía ser catalogado como virus o gusano.Con el tiempo el término troyano se convirtió en un comodín utilizado para todo tipo de malware que no podía ser catalogado como virus o gusano.
Tipos de malware: Backdoor
Backdoor: o puerta trasera, permite acceso y control remoto del sistema sin una autentificación legítima.Backdoor: o puerta trasera, permite acceso y control remoto del sistema sin una autentificación legítima.
EjemploEjemplo
Backdoor BackOrifice
módulo cliente (atacante) y módulo servidor (víctima)
servidor .exe por defecto abre puerto TCP/31337
atacante obtiene control total sobre la víctima
lectura y escritura de archivos, ejecutar aplicaciones, reiniciar el sistema, visualizar la pantalla, manejar el ratón y teclado de la víctima, robar contraseñas, etc.
Backdoor BackOrifice
módulo cliente (atacante) y módulo servidor (víctima)
servidor .exe por defecto abre puerto TCP/31337
atacante obtiene control total sobre la víctima
lectura y escritura de archivos, ejecutar aplicaciones, reiniciar el sistema, visualizar la pantalla, manejar el ratón y teclado de la víctima, robar contraseñas, etc.
Tipos de malware: Spyware, Dialer, Keylogger,...
Spyware: recolecta y envía información privada sin el consentimiento y/o conocimiento del usuario.Spyware: recolecta y envía información privada sin el consentimiento y/o conocimiento del usuario.
Dialer: realiza una llamada a través de módem o RDSI para conectar a Internet utilizando números de tarificación adicional sin conocimiento del usuario, provocando el aumento en la factura telefónica.
Dialer: realiza una llamada a través de módem o RDSI para conectar a Internet utilizando números de tarificación adicional sin conocimiento del usuario, provocando el aumento en la factura telefónica.
Keylogger: captura las teclas pulsadas por el usuario, permitiendo obtener datos sensibles como contraseñas..Keylogger: captura las teclas pulsadas por el usuario, permitiendo obtener datos sensibles como contraseñas..
Adware: muestra anuncios o abre páginas webs no solicitadas.Adware: muestra anuncios o abre páginas webs no solicitadas.
Exploit: programas que aprovecha una vulnerabilidad.Exploit: programas que aprovecha una vulnerabilidad.
Tipos de malware: combinados
Muchos especímenes de malware actual pueden combinar varias de las características atribuibles a las distintas categorías. Muchos especímenes de malware actual pueden combinar varias de las características atribuibles a las distintas categorías.
EjemploEjemplo
Lamin.B virus polimórfico infecta ejecutables Windows PE gusano que se distribuye por redes locales incluye función keylogger backdoor permite control remoto
Lamin.B virus polimórfico infecta ejecutables Windows PE gusano que se distribuye por redes locales incluye función keylogger backdoor permite control remoto
Aunque las líneas están difusas, se suele utilizar como denominación principal la característica más importante. Así, por ejemplo, se habla de un virus con capacidades de backdoor.
Aunque las líneas están difusas, se suele utilizar como denominación principal la característica más importante. Así, por ejemplo, se habla de un virus con capacidades de backdoor.
Nomenclatura en la identificación del software malintencionado
Tipos y características del software malintencionado
Nomenclatura en la identificación del software malintencionado
Técnicas comunes empleadas por las soluciones antivirus
Limitaciones de las soluciones antivirus
Elección de la solución antivirus
Defensa en clientes contra el software malintencionado
Defensa en entornos corporativos contra el software malintencionado
Prefijo + Nombre + Variante + sufijo Prefijo + Nombre + Variante + sufijo
W32/Klez.H@MM Prefijo W32 afecta a plataformas Windows 32bits Nombre Klez nombre dado al espécimen Variante h existen al menos 7 versiones anteriores (a,
b,c d,…) Sufijo @MM gusano de propagación masiva por
correo electrónico
W32/Klez.H@MM Prefijo W32 afecta a plataformas Windows 32bits Nombre Klez nombre dado al espécimen Variante h existen al menos 7 versiones anteriores (a,
b,c d,…) Sufijo @MM gusano de propagación masiva por
correo electrónico
EjemploEjemplo
Nomenclatura en la identificación del software malintencionado
W32 afecta a plataformas Windows 32bits
W95 afecta a plataformas Windows 9X/Me
WM virus de macro para Word
XM virus de macro para Excel
Worm gusano
Troj troyano
Bck backdoor
VBS escrito en Visual Basic Script
JS escrito en Java Script
Joke broma
@mm se propaga por e-mail de forma masiva
W32 afecta a plataformas Windows 32bits
W95 afecta a plataformas Windows 9X/Me
WM virus de macro para Word
XM virus de macro para Excel
Worm gusano
Troj troyano
Bck backdoor
VBS escrito en Visual Basic Script
JS escrito en Java Script
Joke broma
@mm se propaga por e-mail de forma masiva
Prefijos y sufijos más comunesPrefijos y sufijos más comunes
Nomenclatura en la identificación del software malintencionado
Nomenclatura en la identificación del software malintencionado
Nomenclatura en la identificación del software malintencionado
Nomenclatura en la identificación del software malintencionado
Técnicas comunes empleadas por las soluciones antivirus
Tipos y características del software malintencionado
Nomenclatura en la identificación del software malintencionado
Técnicas comunes empleadas por las soluciones antivirus
Limitaciones de las soluciones antivirus
Elección de la solución antivirus
Defensa en clientes contra el software malintencionado
Defensa en entornos corporativos contra el software malintencionado
Técnicas comunes empleadas por las soluciones antivirus
Detección por cadena o firma: tras analizar el código del malware, se selecciona una porción del mismo o cadena representativa que lo permita diferenciar de cualquier otro programa. Si el antivirus detecta esa cadena en algún archivo, determinará que está infectado por ese malware.
Detección por cadena o firma: tras analizar el código del malware, se selecciona una porción del mismo o cadena representativa que lo permita diferenciar de cualquier otro programa. Si el antivirus detecta esa cadena en algún archivo, determinará que está infectado por ese malware.
Es la técnica más extendida entre los antivirus
Permite identificar el malware de forma concreta
No detecta nuevos virus ni modificaciones
Filosofía reactiva, requiere actualización continua
Es la técnica más extendida entre los antivirus
Permite identificar el malware de forma concreta
No detecta nuevos virus ni modificaciones
Filosofía reactiva, requiere actualización continua
20 E0 06 84 20 F4 06 D4 20 08 07 4B 34 00 AD 0C
21 1C 07 F7 21 1D 07 4D 22 30 07 CB 22 44 07 1A
23 45 07 74 23 46 07 B6 23 47 07 32 24 48 07 CE
24 49 07 31 25 4A 07 98 25 58 07 F0 25 59 07 81
20 E0 06 84 20 F4 06 D4 20 08 07 4B 34 00 AD 0C
21 1C 07 F7 21 1D 07 4D 22 30 07 CB 22 44 07 1A
23 45 07 74 23 46 07 B6 23 47 07 32 24 48 07 CE
24 49 07 31 25 4A 07 98 25 58 07 F0 25 59 07 81
Técnicas comunes empleadas por las soluciones antivirus
Detección por localización y nombre de archivoDetección por localización y nombre de archivo
DEMO
Técnicas comunes empleadas por las soluciones antivirus
Detección por heurística: análisis de código para identificar conjunto de instrucciones y estrategias genéricas utilizadas por el malware.
Detección por heurística: análisis de código para identificar conjunto de instrucciones y estrategias genéricas utilizadas por el malware.
No necesita de actualizaciones tan constantes
Capacidad para detectar malware nuevo
Más propenso a falsos positivos
Penalización en el rendimiento en los análisis
No detecta malware con características nuevas
No necesita de actualizaciones tan constantes
Capacidad para detectar malware nuevo
Más propenso a falsos positivos
Penalización en el rendimiento en los análisis
No detecta malware con características nuevas
Técnicas comunes empleadas por las soluciones antivirus
Detección por heurísticaDetección por heurística
Técnicas comunes empleadas por las soluciones antivirus
Detección por emulación: las aplicaciones se ejecutan en un entorno informático simulado (sandbox), para evaluar el grado de peligrosidad.
Detección por emulación: las aplicaciones se ejecutan en un entorno informático simulado (sandbox), para evaluar el grado de peligrosidad.
No necesita de actualizaciones tan constantes
Capacidad para detectar malware nuevo
Más propenso a falsos positivos
Especial penalización en el rendimiento en los análisis (mayor que en el caso del análisis heurístico de código).
No detecta malware con características nuevas
No necesita de actualizaciones tan constantes
Capacidad para detectar malware nuevo
Más propenso a falsos positivos
Especial penalización en el rendimiento en los análisis (mayor que en el caso del análisis heurístico de código).
No detecta malware con características nuevas
Técnicas comunes empleadas por las soluciones antivirus
Detección por emulaciónDetección por emulación
Técnicas comunes empleadas por las soluciones antivirus
Detección por monitorización comportamiento: en vez de analizar el código, comprueba las acciones que intentan llevar a acbo las aplicaciones, e identifican las que puedan ser potencialmente peligrosas.
Detección por monitorización comportamiento: en vez de analizar el código, comprueba las acciones que intentan llevar a acbo las aplicaciones, e identifican las que puedan ser potencialmente peligrosas.
No necesita de actualizaciones tan constantes
Capacidad para detectar malware nuevo
Más propenso a falsos positivos
Penalización en el rendimiento del sistema
No detecta malware con características nuevas
No necesita de actualizaciones tan constantes
Capacidad para detectar malware nuevo
Más propenso a falsos positivos
Penalización en el rendimiento del sistema
No detecta malware con características nuevas
Técnicas comunes empleadas por las soluciones antivirus
Detección por monitorización comportamientoDetección por monitorización comportamiento
DEMO
Técnicas comunes empleadas por las soluciones antivirus
Otros enfoquesOtros enfoques
Chequeo integridad
Comprobar la integridad de los archivos contra una base de datos (checksums, hash, …)
Debe de partir de un archivo limpio
Fáciles de burlar (spoofing)
Chequeo integridad
Comprobar la integridad de los archivos contra una base de datos (checksums, hash, …)
Debe de partir de un archivo limpio
Fáciles de burlar (spoofing)
Control de acceso
Sólo se pueden ejecutar las aplicaciones permitidas por el administrador, con determinados privilegios y según perfil.
Difíciles de administrar, sobre todo en ambientes heterogéneos, y poco práctico para usuarios particulares.
Control de acceso
Sólo se pueden ejecutar las aplicaciones permitidas por el administrador, con determinados privilegios y según perfil.
Difíciles de administrar, sobre todo en ambientes heterogéneos, y poco práctico para usuarios particulares.
Limitaciones de las soluciones antivirus
Tipos y características del software malintencionado
Nomenclatura en la identificación del software malintencionado
Técnicas comunes empleadas por las soluciones antivirus
Limitaciones de las soluciones antivirus
Elección de la solución antivirus
Defensa en clientes contra el software malintencionado
Defensa en entornos corporativos contra el software malintencionado
Facilidad de burlar los métodos de detección
Esquema reactivo, solución a posteriori
Ventana vulnerable, no protegen a tiempo
Facilidad de burlar los métodos de detección
Esquema reactivo, solución a posteriori
Ventana vulnerable, no protegen a tiempo
Limitaciones de las soluciones antivirus
Creación del malwareCreación del malware
Distribución
Infección de las primeras víctimas
Reporte a los laboratorios AV
Creación del malwareCreación del malware
Distribución
Infección de las primeras víctimas
Reporte a los laboratorios AV
Actualización del AV del usuario
Publicación actualización
Desarrollo firma y pruebas
Análisis del malware
Actualización del AV del usuario
Publicación actualización
Desarrollo firma y pruebas
Análisis del malware
Falsa sensación de seguridad AV (perimetrales, locales)
Protocolos que no pueden ser analizados (https, …)
Limitaciones de análisis en el perímetro
Formatos de empaquetado y compresión
Evolución y diversificación del malware
Falsa sensación de seguridad AV (perimetrales, locales)
Protocolos que no pueden ser analizados (https, …)
Limitaciones de análisis en el perímetro
Formatos de empaquetado y compresión
Evolución y diversificación del malware
Limitaciones de las soluciones antivirus
DEMO
Elección de la solución antivirus
Tipos y características del software malintencionado
Nomenclatura en la identificación del software malintencionado
Técnicas comunes empleadas por las soluciones antivirus
Limitaciones de las soluciones antivirus
Elección de la solución antivirus
Defensa en clientes contra el software malintencionado
Defensa en entornos corporativos contra el software malintencionado
Marketing AV en general (protección 100%, detecta todos los virus conocidos y desconocidos, número 1, tecnología “supermegapotente”,…)Número de malware que dicen detectar (guerra de números, no es un dato cualitativo y no corresponde con la realidad)“Consultores” (¿consultores o distribuidores?)Premios y certificaciones (adulterados, requisitos mínimos)Comparativas (evaluación crítica, lectura de resultados)
Marketing AV en general (protección 100%, detecta todos los virus conocidos y desconocidos, número 1, tecnología “supermegapotente”,…)Número de malware que dicen detectar (guerra de números, no es un dato cualitativo y no corresponde con la realidad)“Consultores” (¿consultores o distribuidores?)Premios y certificaciones (adulterados, requisitos mínimos)Comparativas (evaluación crítica, lectura de resultados)
Elección de las soluciones antivirus
Elementos que distorsionan (a ignorar)Elementos que distorsionan (a ignorar)
DEMO
Recursos que consume, rendimiento y estabilidad
Facilidad de uso y posibilidades de configuración
Malware que cubre (spyware, riskware, dialers,…)Funciones proactivas
Actualizaciones y tiempos de respuesta
Soporte
Puesto destacado en comparativas (no de los últimos)Casuística de nuestros sistemas (probar y evaluar)Gestión centralizada, funciones corporativas
Recursos que consume, rendimiento y estabilidad
Facilidad de uso y posibilidades de configuración
Malware que cubre (spyware, riskware, dialers,…)Funciones proactivas
Actualizaciones y tiempos de respuesta
Soporte
Puesto destacado en comparativas (no de los últimos)Casuística de nuestros sistemas (probar y evaluar)Gestión centralizada, funciones corporativas
Elección de las soluciones antivirus
Elementos a tener en cuentaElementos a tener en cuenta
Elección de las soluciones antivirus
Defensa contra software malintencionado
Tipos y características del software malintencionado
Nomenclatura en la identificación del software malintencionado
Técnicas comunes empleadas por las soluciones antivirus
Limitaciones de las soluciones antivirus
Elección de la solución antivirus
Defensa en clientes contra el software malintencionado
Defensa en entornos corporativos contra el software malintencionado
Abrir archivos legítimos (virus)Abrir archivos no solicitados, adjuntos de correo, P2P, descargas (gusanos, troyanos)Abrir archivos enviados por terceros intencionadamente (Ingeniería social) (troyanos, backdoors)Configuración débil de nuestro sistema operativo (gusanos, virus, backdoors,…)Configuración débil de aplicaciones Internet (navegador, cliente de correo) (spyware, gusanos)Vulnerabilidades del sistema operativo y aplicaciones Internet (gusanos, spyware, backdoors)
Abrir archivos legítimos (virus)Abrir archivos no solicitados, adjuntos de correo, P2P, descargas (gusanos, troyanos)Abrir archivos enviados por terceros intencionadamente (Ingeniería social) (troyanos, backdoors)Configuración débil de nuestro sistema operativo (gusanos, virus, backdoors,…)Configuración débil de aplicaciones Internet (navegador, cliente de correo) (spyware, gusanos)Vulnerabilidades del sistema operativo y aplicaciones Internet (gusanos, spyware, backdoors)
Defensa contra el software malintencionado
Origen de infeccionesOrigen de infecciones
Defensa contra el software malintencionado
Visión actual en la prevenciónVisión actual en la prevención
Abrir archivos legítimos
Abrir archivos no solicitados
Ingenieria social
Configuración débil del sistema operativo
Configuración débil de aplicaciones Internet
Vulnerabilidades del S.O. y aplicaciones
Abrir archivos legítimos
Abrir archivos no solicitados
Ingenieria social
Configuración débil del sistema operativo
Configuración débil de aplicaciones Internet
Vulnerabilidades del S.O. y aplicaciones
Defensa contra el software malintencionado
Agente fundamental en la prevención realAgente fundamental en la prevención real
Defensa en clientes contra el software malintencionado
Se debe tender a un equilibrioSe debe tender a un equilibrio
Educar / formar al usuario. Cultura de seguridad.
Formatos potencialmente peligrosos
No abrir archivos no solicitados
No utilizar fuentes no confiables
Navegación segura
Política de passwords
Copias de seguridad
Educar / formar al usuario. Cultura de seguridad.
Formatos potencialmente peligrosos
No abrir archivos no solicitados
No utilizar fuentes no confiables
Navegación segura
Política de passwords
Copias de seguridad
Defensa contra el software malintencionado
Factor humanoFactor humano
Desactivar todos los servicios no necesarios
Aplicar actualizaciones automáticas (SUS, SMS)
Configuración segura navegador y correo
Políticas de uso de portátiles, PDAs, memorias USB, acceso externo
Segmentación lógica redes
Políticas de privilegios según usuario y aplicaciones
Políticas de seguridad recursos compartidos
Políticas de backup
Desactivar todos los servicios no necesarios
Aplicar actualizaciones automáticas (SUS, SMS)
Configuración segura navegador y correo
Políticas de uso de portátiles, PDAs, memorias USB, acceso externo
Segmentación lógica redes
Políticas de privilegios según usuario y aplicaciones
Políticas de seguridad recursos compartidos
Políticas de backup
Defensa contra el software malintencionado
Factor S.O. y aplicacionesFactor S.O. y aplicaciones
Uso de soluciones antivirus distintas y complementarias por capas (perímetro, servidor de archivos, host).
Firewall perimetrales y basados en hosts (XP SP2)
Política de filtrado por contenidos
Política de acceso a la red (interna, externa)
Gestión centralizada seguridad
Auditorías y planes de contingencia/continuidad
Uso de soluciones antivirus distintas y complementarias por capas (perímetro, servidor de archivos, host).
Firewall perimetrales y basados en hosts (XP SP2)
Política de filtrado por contenidos
Política de acceso a la red (interna, externa)
Gestión centralizada seguridad
Auditorías y planes de contingencia/continuidad
Defensa contra el software malintencionado
Soluciones de seguridad y antimalwareSoluciones de seguridad y antimalware
DEMO
Preguntas y respuestas
Elección de una solución de administración de actualizaciones para la defensa contra software malintencionado
Tipo de usuario Escenario Solución
Usuario independiente Todos los escenarios Windows
Update
Organización pequeña
Sin servidores de Windows Windows Update
Al menos un servidor Windows 2000o una versión más reciente y un administrador de IT
MBSA y SUS
Empresa de tamaño mediano a grande
Desea una solución de administración de actualizaciones con un control básico que actualice Windows 2000 y las versiones más recientes de Windows
MBSA y SUS
Desea una solución de administración de actualizaciones flexible con un mayor control para actualizar y distribuir todo el software
SMS
Descripción de las ventajas de Software Update Services (SUS)
Permite que los administradores tengan un control básico de la administración de las actualizaciones
Los administradores pueden revisar, probar y aprobar las actualizaciones antes de implementarlas
Simplifica y automatiza aspectos clave del proceso de administración de actualizaciones
Se puede usar con directivas de grupo, aunque no son imprescindibles para utilizar SUS
Fácil de implementar Herramienta gratuita de Microsoft
Permite que los administradores tengan un control básico de la administración de las actualizaciones
Los administradores pueden revisar, probar y aprobar las actualizaciones antes de implementarlas
Simplifica y automatiza aspectos clave del proceso de administración de actualizaciones
Se puede usar con directivas de grupo, aunque no son imprescindibles para utilizar SUS
Fácil de implementar Herramienta gratuita de Microsoft
Funcionamiento de SUS
Servidor SUS
primario
Windows Update
Servidor SUS secundario
Internet
Equipos cliente
Equipos cliente
Demostración 1: Configuración de Software Update Services para implementar actualizaciones de seguridad
Configurar Software Update Services para implementar actualizaciones de seguridad
Red interna10.10.0.0/16
Internet
London.nwtraders.msftControlador de dominioExchange Server 2003
Servidor de IIS 6.0Software Update Services
Servidor DNSServidor de CA empresarial
10.10.0.2/16
Vancouver.nwtraders.msftISA Server 2004
10.10.0.1/16131.107.0.1/16
Denver.nwtraders.msftSP2 de Windows XP
Office 2003131.107.0.1/16
Glasgow.nwtraders.msftServidor MIIS
Servidor ADAM10.10.0.3
131.107.0.8
Denver.nwtraders.msftSP2 de Windows XP
Office 200310.10.0.10/16
Brisbane.northwindtraders.msftControlador de dominio
Servidor de IIS 6.010.10.0.20
Configuración de aplicaciones para proteger los equipos cliente
Algunas aplicaciones que pueden ser objetivos de ataques de software malintencionado son:Algunas aplicaciones que pueden ser objetivos de ataques de software malintencionado son:
Aplicaciones de clientes de correo electrónicoAplicaciones de clientes de correo electrónico
Aplicaciones de escritorioAplicaciones de escritorio
Aplicaciones de mensajería instantáneaAplicaciones de mensajería instantánea
Exploradores WebExploradores Web
Aplicaciones de igual a igualAplicaciones de igual a igual
Administración de la seguridad de Internet Explorer
Característica de seguridad Descripción
Mejoras de la seguridad de MIME
Comprobaciones de coherenciaReglas más estrictas
Mejor administración de la seguridad
Características de control y administración de complementosMensajes más descriptivosNuevas restricciones de Windows iniciadas mediante secuencias de comandos
Zona Equipo local Capacidad para controlar la seguridad en la zona Equipo local
Configuración de la zona de seguridad Control de características
Rastreo de MIMEElevación de la seguridadRestricciones de Windows
Configuración de directivas de grupo
Control administrativo de las zonas de seguridad Control de características
Demostración 2: Configuración de aplicaciones basadas en el cliente
Configurar las aplicaciones cliente para la defensa contra software malintencionado
Red interna10.10.0.0/16
Internet
London.nwtraders.msftControlador de dominioExchange Server 2003
Servidor de IIS 6.0Software Update Services
Servidor DNSServidor de CA empresarial
10.10.0.2/16
Vancouver.nwtraders.msftISA Server 2004
10.10.0.1/16131.107.0.1/16
Denver.nwtraders.msftSP2 de Windows XP
Office 2003131.107.0.1/16
Glasgow.nwtraders.msftServidor MIIS
Servidor ADAM10.10.0.3
131.107.0.8
Denver.nwtraders.msftSP2 de Windows XP
Office 200310.10.0.10/16
Brisbane.northwindtraders.msftControlador de dominio
Servidor de IIS 6.010.10.0.20
Bloqueo de aplicaciones no autorizadas con directivas de restricción de software
Las directivas de restricción de software:Las directivas de restricción de software:
Se pueden establecer como: Ilimitado No permitido
Se pueden establecer como: Ilimitado No permitido
Se pueden aplicar a las siguientes reglas:
Hash Certificado Ruta de acceso Zona
Se pueden aplicar a las siguientes reglas:
Hash Certificado Ruta de acceso Zona
Se pueden utilizar para:Combatir virusControlar las descargas de ActiveXEjecutar sólo secuencias de comandos firmadasAsegurarse de que se instalan las aplicaciones autorizadasBloquear equipos
Se pueden utilizar para:Combatir virusControlar las descargas de ActiveXEjecutar sólo secuencias de comandos firmadasAsegurarse de que se instalan las aplicaciones autorizadasBloquear equipos
Demostración 3: Uso de directivas de restricción de software
Crear y probar una directiva de restricción de software
Red interna10.10.0.0/16
Internet
London.nwtraders.msftControlador de dominioExchange Server 2003
Servidor de IIS 6.0Software Update Services
Servidor DNSServidor de CA empresarial
10.10.0.2/16
Vancouver.nwtraders.msftISA Server 2004
10.10.0.1/16131.107.0.1/16
Denver.nwtraders.msftSP2 de Windows XP
Office 2003131.107.0.1/16
Glasgow.nwtraders.msftServidor MIIS
Servidor ADAM10.10.0.3
131.107.0.8
Denver.nwtraders.msftSP2 de Windows XP
Office 200310.10.0.10/16
Brisbane.northwindtraders.msftControlador de dominio
Servidor de IIS 6.010.10.0.20
Nuevas características de seguridad de Firewall de Windows
Activado de forma predeterminadaActivado de forma predeterminada
Seguridad en tiempo de inicio del sistemaSeguridad en tiempo de inicio del sistema
Configuración global y restauración de la configuración predeterminada
Configuración global y restauración de la configuración predeterminada
Restricciones de subred localRestricciones de subred local
Posibilidad de usar la línea de comandosPosibilidad de usar la línea de comandos
Activado sin excepcionesActivado sin excepciones
Lista de excepciones de Firewall de WindowsLista de excepciones de Firewall de Windows
Perfiles múltiplesPerfiles múltiples
Compatibilidad con RPCCompatibilidad con RPC
Se puede realizar una instalación desatendidaSe puede realizar una instalación desatendida
Configuración de Firewall de Windows para la defensa de los programas antivirus