Tecnologías para la protección de la información en Windows Server 2008
David Cervigón LunaIT Pro [email protected]://blogs.technet.com/davidcervigon
Retos de la protección de datosDescuidos y Desastres
¿De verdad que esa carpeta que se llamaba Sysvol valía para algo?¿Verdad que al CPD no le puede pasar nada?
Robos y PérdidasPortátiles… y también servidores
Mantenimiento de la Privacidad¿El mail ese no era confidencial, no?¿Y eso que hace publicado en un blog?¡Anda!, la nómina de Jose….Esa foto, mejor que no la vea nadie
Agenda
Windows Server Backup (WSB)Active Directory Right Management Services (AD RMS)BitLocker Drive Encryption (BDE)Encrypted File System (EFS)
Backup en Windows Server 2008Completamente rehechoAplicación de Backup y Recovery en Windows Server
Proteje archivos, carpetas, volúmenes, datos de aplicaciónes y componetes del Sistema OperativoGranularidad de recuperación desde el servidor completo a datos individuales o estado del sistemaNO reemplaza a NTBackup característica a característica
Diseñado para usuarios individuales y profesionales de ITSimplicidad, Fiabilidad y Rendimiento
Se requiere una configuración mínima, acompañada de una experiencia pasada en asistentesBasado completamente en la tecnología VSSTecnología de backup eficiente basada en imágenes a nivel de bloque
Optimizado para discosTambién hace copias de seguridad a carpetas de red y DVDsSin soporte a cinta
Configuración típicaDisco externo conectado (1394/USB, solo de tipo fijo, no pendrives)Windows Backup Instalado (Componente Opcional)Backup regular planificado
Características del Backup y de la RecuperaciónCaracterística Escenario
Backup a DVDAdhoc, copia de seguridad hacia fuera del equipo.No soportado para backups planificadosSiempre comprimidos y pueden ocupar varios medios
Backup a disco Copia de seguridad periódica.
Backup a carpeta compartidaAdhoc, redundancia.No soportado para backups planificados
Recuperación de carpeta/archivo
Perdida de datos accidentales, borrados.
Recuperación de un volumen Recuperación de un desastre de un volumen completo.
Recuperación del sistema (desde WinRE)
Recuperación de desastres de volúmentes del Sistema, pero con el disco y su estructura intactos
Recuperación total del sistema (desde WinRE)
Recuperación de desastres a discos nuevos. Formateo y reparticionado de discos.
Recuperación del estado del sistema
Vuelta a un estado anterior del sistema (Recuperación del AD, corrupción del registro. Soportado solamente en la misma instalación del Sistema Operativo. No soportado en imágenes del sistema o hardware alternativo
Cómo funciona el BackupPaso 1
WSB toma una instantánea de todo el volumen que incluye todos los “writers” que tienen un componente en ese volumen
Paso 2 WSB lee a nivel de bloque (utilizando APIs a nivel de volumen) cada bloque del disco origen y los copia al disco objetivo
Paso 3En el disco objetivo, los bloques se escriben en un .VHD creado por WSB. Se crea un VHD por cada volumen objetivo
Se pueden montar en una máquina virtual, pero NO es una solución P2V. Una VM no arrancará a partir de estos VHDs
Paso 4 Después de que la trasferencia se completa. El motor de Backup crea una instantánea del disco objetivo.
Aunque el VHD se sobrescriba, WSB mantendrá múltiples versiones utilizando instantáneas.Si el destino es una carpeta compartida, la instantánea no se crea
Funcionalidades de Recovery – Matriz de Soporte
Backup Location / Recovery Type
System Recovery (Bare Metal Restore or BMR)
Volume File/Application System State Recovery
Local disk YES YES YES YES
DVD YES YES NO NO
Network share YES YES YES YES
USB drive YES* (only fixed type devices. No removable type)
YES*(only fixed type devices. No removable type)
YES*(only fixed type devices. No removable type)
YES*(only fixed type devices. No removable type)
USB flash NO NO NO NO
NOTE :
• The System Recovery and the System State Recovery features would be available only on a backup that includes all critical volumes.
• Critical volumes are those that have a OS component residing on them. • OS components are those components reported by System State Writers.• UI has direct option to include all critical volumes. CLI has switch "-allcritical" to automatically include all
critical volumes.• A scheduled backup would automatically include critical all volumes in the system.• System State recovery - Supported only to the same OS installation. Not supported to reimaged OS or
alternate h/w
Como funciona la recuperaciónRecuperación de Volúmenes
Se utiliza cuando ocurre una corrupción o desastre a nivel de volumen (ej. reemplazo de un disco)Como funciona
El usuario especifica el lugar donde reside la copia de seguridadWSB lee el VHD de la instantánea que se creo tras finalizar la copia de seguridadWSB leerá el VHD bloque a bloque y los escribirá en el disco destino
Recuperación de Archivos o CarpetasBorrados accidentales, fallos de aplicaciones, recuperación de datos, etc.Cómo funciona:
El usuario especifica el lugar donde reside la copia de seguridadWSB lee el VHD de la instantánea que se creo tras finalizar la copia de seguridadWSB monta el VHD como un volumen, o visible en el Explorer para los usuariosDespués de que el volumen está disponible y se ha montado el sistema de archivos, WSB permite a los usuarios la recuperación de archivos y carpetas mediante un dialogo de exploración en la interfaz gráfica
• Datos protegidos en reposo, en movimiento y en uso
• Protección dentro y fuera de la organizaciónProtección de
Información
• Controla persistentemente quien tiene acceso a los datos, lo que hace con ellos y cuandoAplicación de
Políticas
• IT puede definir y aplicar politicas corporativas
• RMS logging para evaluar el flujo de la informaciónControl
• Capacidad básica de la plataforma de desarrollo de Microsoft
• Soportado por aplicaciones de Microsoft y de 3os
Plataforma Extensible
¿Que es RMS? Tecnología para salvaguardar información confidencial y sensible
¿Cómo proteje la información RMS? RMS protege la información mediante:
Cifrado fuerte Criptografía Simétrica y Asimétrica
Control de Acceso Usuarios y Grupos Condiciones temporales Aplicaciones “sancionadas”
Políticas de uso de Aplicaciones Solo lectura, Editar, Exportar, Imprimir,
Salvar…
Auditoría de Acceso El servidor guarda las peticiones de
acceso a la información protegida
La protección de RMS es persistente En reposo, en movimiento y en uso Viaja con el archivo/datos a través
de la red, en el medio de almacenamiento, en el email, etc.
Controlado por políticas impuestas por el departamento de IT y/o el autor de la información
Protegido por RMS
Datos Cifrados
Politicas de acceso y uso
Ejemplo de flujo de de trabajo protegido por RMS
Autor Receptor
Servidor RMSBase de Datos SQL Directorio Activo
2. El autor define/aplica la política de protección para los datos; La aplicación usa las APIs cliente para cifrar los datos y generar la politica; La aplicación guarda los datos cifrados junto con la política.
3. El autor distrubuye la información
4. El receptor abre el fichero; La aplicación llama al servidor RMS que autoriza al usuario y le expide una “licencia de uso”
5. La aplicación muestra la información y aplica los derechos; El cliente de RMS garantiza que el entorno esta protegido
1. La primera vez que el autor usa RMS recibe unas credenciales específicas del servidor. También puede recibir políticas de protección definidas por IT
1
SQL
RMS Enabled App
RMS Client API
2
3 RMS Enabled App
RMS Client API
4
5
Novedades de RMS en Windows Server 2008
DespliegueSoporte de Auto EnrollmentUn role de Windows Server 2008, con instalación automática de los pre-requisitos de instalaciónNo hay limites en la validez de los certificadosSin necesidad de establecer comunicación directa con MicrosoftIntegración con AD DS (Automatic Service Discovery para clientes de RMS)
Gestión y AdministraciónAsistente de ConfiguraciónConsola basada en MMCTodas las acciones de la MMC son scriptablesPosibilidad de administración remota (HTTP/SOAP)Generación de informes a partir de la base de datos de logsRoles Administrativos
Protección de la colaboración externa mediante ADFSIntegración de RMS con ADFS para soportar identidades federadas
Distribución de plantillas
Instalación
Periodos de validez de los certificados
Cuentas de AD de
Extranet
Agregar las cuentas de los usuarios externos en tu ADPermitir en los Firewallls el tráfico SSL entrante a los servidores RMS internosPuede utilizarse autenticación basada en certificados X.509Puede usarse VPN para mayor seguridad, a costa de perder flexibilidad
Usuarios de Dominios de
Confianza
Ambas organizaciones han de tener RMS desplegadoIntercambio de certificados de RMS en un o dos sentidos para habilitar la confianza
Colaboración externa protegida por RMS
Servicios en Hosting
Usar RMS para publicar a usuarios externos que tengan Windows Live IDs Existen soluciones disponible por parte de Partners
RMS Federado enWS08
Permite colaboración en los dos sentidos aunque solamente una de las organizaciones tenga un servidor RMSAmbas organizaciones tienen servidores de federación (ADFS)
BitLocker Drive EncryptionEscenarios de uso
Compromiso físico o robo de un servidor y/o sus discos durosSecurización de los datos de un equipo configurado que se va a enviar a su destinoDecomisado o reciclado de servidoresRobo de datos por clonaciones de disco durante paradas de mantenimiento
Solución: BitLocker habilitado en un Servidor con TPM
Autenticación MultifactorialMúltiples opciones de recuperaciónHerramientas de gestiónMúltiples mecanismos de despliegue
Requerimientos de BitLockerHardware TPM (Trusted Platform Module)
El sistema debe tener un Trusted Platform Module (TPM) v1.2La plataforma de hardware debe estar certificada con el Windows Server 2008 Logo.
Hardware no-TPMLa BIOS del sistema debe soportar la USB Mass Storage Device Class, incluyendo la lectura de ficheros de una unidad Flash USB en la fase de arranque previa al sistema operativo
Configuración de Discos: al menos dos volúmenes NTFS
Volumen de arranque del Sistema OperativoVolumen del sistema – debe ser la partición activa y tener al menos 1.5 GB
Nuevas funcionalidades en Windows Server 2008
Componente opcionalTiene que ser instalado a través del Server Manager o por línea de comandos
Soporte a volúmenes de datosPuede protegerse cualquier volumen que no contenga el SO en ejecuciónRequiere que Bitlocker esté activado en el volumen del SOCrea una “auto-unlock key” y una password de recuperación
Nuevo autenticador soportado: TPM+USB+PINSoporte de UEFI (solo 64-bit)
Arquitectura de BitLocker™ Raiz estática de confianza de los componentes de arranque
Volume Blob of Target OS unlocked
All Boot Blobs unlocked
Static OS
BootSector
BootManager
Start OS
OS Loader
BootBlock
PreOS
BIOS
MBR
TPM Init
Claves y Protectores
Active(System)Partition
Windows OS Volume
DATA
1
FVEK
2
¿Donde esta la clave de cifrado?1. Los datos de cifran con la FVEK (Full-Volume Encryption
Key)
(Full-Volume Encryption Key)
Claves y Protectores
DATA
1
Volume Meta-Data(Existen tres copias redundantes)
FVEK
2
VMK
3
TPM
4
¿Donde esta la clave de cifrado?1. Los datos de cifran con la FVEK2. La FVEK se cifra con la VMK (Volume Master
Key) y se almacena en los metadatos del volumen.
3. La VMK es cifrada por uno o mas protectores de la clave, y se almacena en los metadatos del volumen.
4. El Trusted Platform Module no descifrará la VMK si la integridad del sistema falla.
(Full-Volume Encryption Key)
Claves y Protectores (“Autenticadores”)
DATA
1
FVEK
2
VMK
3
TPM
4
TPM+USB
TPM+PIN
Llave USB(Recuperación o no-TPM
123456-789012-345678-
Recovery Password(48 Digitos)
¿Donde esta la clave de cifrado?1. Los datos de cifran con la FVEK2. La FVEK se cifra con la VMK (Volume Master
Key) y se almacena en los metadatos del volumen.
3. La VMK es cifrada por uno o mas protectores de la clave, y se almacena en los metadatos del volumen.
4. El Trusted Platform Module no descifrará la VMK si la integridad del sistema falla.
Autenticadores disponiblesDefecto: Trusted Platform Module (TPM) TPM + Clave de Arranque USB1
TPM + PINClave de arranque USB1,2,3
Clave de recuperación USB3,4
Recovery Password Numérica4
Windows Server 2008: TPM + USB + PIN1. Una clave de arranque con TPM es diferente a una sin TPM2. Utilizada solamente en equipos sin TPM3. Una clave de arranque no-TPM y una clave de recuperación son exactamente lo mismo.4. No usada normalmente, solo para recuperación
WinREConjunto de herramientas para la solución de problemas de arranqueContiene los drivers y herramientas necesarias para desproteger un volumen protegido por BitLockerEn el entorno de WinRE, se solicita una credencial de recuperación en un equipo con BitLocker habilitado
Configuración de Disco
Partición 1 Partición 2 Partición 3
WinRE y BitLocker en particiones separadas
BitLocker
Tipo 0x7
1.5GB (Activa)
WinRE
Tipo 0x27
1GB
Windows Server 2008
Tipo 0x7
WinRE y Bitlocker en la misma partition
WinRE + BitLocker
Tipo 0x7
1.5GB (Activa)
Windows Server 2008
Type 0x7Innecesaria
IMPORTANTE: Planificación de BitLocker
EntenderEl entornoSus requerimientos y necesidades
EstrategiasDe hardwareDe despliegue y decomisadoDe recuperación
Procesos para el usuario finalSituaciones locales y remotasAnticipar los posibles escenarios
Perdida u olvido de clavesFallos de discoFallos de la placa base o del modulo TPMActualizaciones de BIOSAtaques deliberados
Preparación de AD para almacenar información de recuperación de BitLocker
Por defecto, no se guarda información de recuperación en Directorio ActivoAsegurarse de que el esquema ha sido extendido y que se ha concedido los derechos de acceso apropiados para hacer la copia de seguridad
Todos los DCs deben ser al menos Windows Server 2003 SP1En Windows Server 2008 el esquema ya tiene las extensiones necesariashttp://go.microsoft.com/fwlink/?LinkId=78953
Información que se guarda para cada computer object:Contraseñas de Recuperación de 48 dígitosPaquete de claves de datos: Con estas claves puede descifrarse porciones de un volumen en caso de que el disco este severamente dañado
Solamente hay una propietario de la contraseña TPM por equipoPuede haber más de una contraseña de recuperación por equipo
Configuración de Bitlocker mediante Políticas de Grupo
GPOs para BitLocker:Habilitar la copia de reguridad de BitLocker al Directorio ActivoConfiguración del Panel de Control: habilitar las opciones avanzadas de arranque, opciones de recuperación, configurar la carpeta de recuperación, etc.Configurar el método de cifradoConfigurar el perfil de validación TPMHabilitar la compatibilidad FIPS (requerido antes de configurar las claves de BitLockerOcultar la letra de la partición del sistema en la interfaz gráfica
GPOs para los servicios TPM:Habilitar la copia de seguridad de TPM a Directorio ActivoConfigurar la lista de comandos TPM bloqueados
Metodos de ConfiguraciónPor línea de comandos: manage-bde.wsf
Herramienta diseñada para configuración de BitLocker en máquinas una a una, o para administrarlas una vez BitLocker ha sido habilitadoLocalizada en %systemdrive%\Windows\system32Para despliegues a pequeña escala (<25 equipos)
Scripts con los proveedores WMI de BitLocker y TPMScript de ejemplo disponible (EnableBitLocker.vbs)Adecuado para grandes despliegues
Herramientas para BitLockerBitLocker Drive Preparation Tool
Particiona correctamente una instalación existente de Windows para uso de BitLocker sin reinstalar ni restaurar imágenesInterfaz por línea de comandos scriptable para despliegues personalizadosDisponible para clientes corporativos
BitLocker Recovery Password Viewer for Active Directory
Permite localizar y ver las contraseñas almacenadas en Directorio ActivoBusca contraseñas de recuperación en todos los dominios de un bosque
BitLocker Repair Tool Ayuda a recuperar datos de un volumen cifrado de un disco severamente dañadoSe requiere una contraseña de recuperación para descifrar los datos (es decir, NO es una “puerta trasera”)
EFSEscenarios de uso
Protejer los datos sensible de usuarios contra un ataque onlineProteger documentación móvil en carpetas compartidasProteger documentos compartidos entre pequeños grupos de trabajo
Solución: Encrypting File SystemProtección de información sensible por usuarioSoporte de almacenamiento externo de la clave con autenticación multifactorialMúltiples opciones de recuperación y despliegueIntegración con PKI
Fichero CifradoCifrado EFS (doble cifrado)
Clave simética cifrada asimétricamente
con la clave publica del agente de recuperación
“SobreDigital”
Clave pública deotros receptores oagentes de recuperación
La combinación
de la caja fuerte es...
Clave simética cifrada asimétricamente
con la clave publica del usuario (e.g., RSA)
“Sobre Digital”
ClavePública delusuario
RNG
Clave de sesión generadaaleatoriamente(simética)
Cifrado Simetrico(e.g. DES)
*#$fjda^ju539!3t
t389E *&\@5e%32\^kd
*#$fjda^ju539!3t
t389E *&\@5e%32\^kd
La combinación
de la cajafuerte es...
La combinación
de la cajafuerte es...
DescifradoSimétrico
“SobreDigital”
Descifrado simétrico de la clave se sesión
Clave de sesiónsimétrica
Clave privada del usuario o agente de recuperación
Descifrado EFS
Como se obtiene las claves de cifrado asimétrico del usuario para EFS
El usuario intenta cifrar
un fichero
Se comprueba si en el almacén hay
un certificado apropiado.
Se hace un Single Sign On o se
solicita un tarjeta inteligente
Genera un certificado
autofirmado, si lo permite la politica y
acorde a la longitud de clave especificada en
ella
Solicitud automática de un certificado
apropiado según la plantilla
especificada en la política
Nuevas funcionalidades en Windows Server 2008
Soporte de Smart cardsLas claves de usuario y de recuperación pueden almacenarse en una tarjeta inteligente
Cifrado de ficheros Offline por usuarioCifrado del Pagefile
Utiliza una clave de cifrado efímera.El pagefile es ilegible tras el reinicio
Asistente para gestión de claves y recuperación de datosInterfaz mejorada en las Políticas de Grupo
Despliegue de EFS
Está fuertemente recomendado hacer el despliegue con la PKI de Microsoft
La CA tiene que emitir certificados RSA
Crear y publicar las plantillas apropiadasAutoenrollment o manualKRA (Key recovery Agent)
Configurar el “key roaming” si es necesarioCredential Roaming vs. Perfiles de usuario móviles
Expedir un certificado de Data Recovery Agent (DRA)Configurar el DRA y otras opciones de las Políticas de Grupo
Recomendado “flush on lock” y “lock on smart card removal”
Ver la documentación del Data Encryption Toolkit
Referencias
Windows Server BackupWindows Server 2008 Backup and Recovery Step-by-Step Guide
RMSActive Directory Rights Management Services
BitLockerWindows BitLocker Drive Encryption Design and Deployment GuidesBitLocker Drive EncryptionConfiguring Active Directory to Back up Windows BitLocker Drive Encryption and Trusted Platform Module Recovery Information
EFSEncrypting File System
Recursos TechNet• TechCenter de Windows Server 2008
http://www.microsoft.com/spain/technet/prodtechnol/windowsserver/2008/default.mspx
• Próximos webcasts en vivohttp://www.microsoft.com/spain/technet/jornadas/default.mspx
• Webcasts grabados sobre Windows Server
http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx?id=1
• Webcasts grabados otras tecnologías Microsoft
http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx
• Foros técnicoshttp://forums.microsoft.com/technet-es/default.aspx?siteid=30
Recursos TechNet• Registrarse a la newsletter TechNet Flash
http://www.microsoft.com/spain/technet/boletines/default.mspx
• Obtenga una Suscripción TechNet Plushttp://technet.microsoft.com/es-es/subscriptions/default.aspx
Preguntas
David Cervigón LunaIT Pro [email protected]://blogs.technet.com/davidcervigon