Redes seguras con Windows XP Service Pack 2

Josep Llus Paniagua Jaume Ferr Microsoft MVPs

Agenda
Windows Firewall: una red protegida Internet Explorer: navegacin segura Outlook Express: gestin de correo seguro

Poll
Tengo Windows XP Service Pack 2 instalado Instalar Windows XP Service Pack 2 durante las prximas semanas Espero a tener ms informacin para instalar Windows XP Service Pack 2 No instalar Windows XP Service Pack 2

Una red protegida con el Firewall de Windows

En Windows XP SP2, ICF cambia su denominacin a Firewall de Windows Nuevas funcionalidades:
Activado por defecto para todas las conexiones del ordenador Nueva configuracin global que se aplica a todas las conexiones Nuevos cuadros de dilogo para configuraciones locales Excepciones de trfico para programas especficamente indicados Restricciones de trfico segn el origen Soporte para RPC Nuevo modo operativo Seguridad desde el arranque Soporte para IPv6

Activado por defecto en todas las conexiones del ordenador

En Windows XP SP2, el Firewall de Windows est activado por defecto para todas las conexiones, incluidas: LAN (cable y wireless) Conexiones telefnicas Virtual private network (VPN) Cualquier nueva conexin llevar activado por defecto el Firewall Esta nueva funcionalidad provee ms proteccin pero puede traer consecuencias a departamentos de IT por: Compatibilidad con aplicaciones Manejo remoto de PCs por la red

Nueva configuracin global que se aplica a todas las conexiones

En versiones anteriores al SP2, ICF se deba configurar por conexin. El Firewall de Windows en Windows XP SP2 permite configurar las conexiones globalmente:
Los cambios son aplicados a todas las conexiones de red

Adems permite configuraciones especficas por conexin:

Una configuracin especfica de una conexin sobrescribe la configuracin global.

Nuevos cuadros de dilogo para configuraciones locales

Windows XP SP2 reemplaza el sencillo cuadro de ICF por un acceso directo en el Panel de Control

Es posible configurar: Configuraciones Generales Configuraciones especficas por conexin Configuracin del log Permitir trfico ICMP Permisos para programas y servicios

Excepciones de trfico por nombre de programa

En anteriores versiones esta configuracin deba ser hecha manualmente
Difcil para usuarios que no conocan TCP/IP a fondo. No funcionaba para aplicaciones que no escucharan puertos especficos.

En Windows XP SP2, la excepciones de trfico pueden ser configuradas para puertos y aplicaciones determinados
El Firewall monitoriza los puertos que la aplicacin escucha y los aade automticamente a la lista de trafico entrante permitido. El mecanismo de notificacin permite a los administradores locales aadir automticamente las nuevas excepciones.

El Firewall de Windows incluye excepciones preconfiguradas para las aplicaciones ms comunes:

Compartir archivos e impresoras. Universal Plug and Play.

Soporte RPC
RPC abre varios puertos y expone diferentes servidores en ellos. El Firewall de Windows acepta llamadas a estos servicios RPC slo si el que los solicita ejecuta en contextos Local System, Network Service, o Local Service. El Firewall soporta perfiles que permiten a los puertos RPC ser slo abiertos si el solicitante est en la lista de excepciones. Las aplicaciones permitidas sobrescriben los permisos genricos de RPC.

Restricciones de trfico segn origen

En versiones anteriores no exista esta funcionalidad, que ha sido incluida en el SP2, y permite filtrar el origen por las siguientes condiciones:
Cualquier direccin IP Direcciones IP de la misma subred Una o ms direcciones IP, especficas (solo IPv4) Uno o ms rangos de direcciones IP (solo IPv4)

Nuevo modo operativo

Este modo permite bloquear todo el trfico entrante, incluso el permitido, con un solo clic.

Este nuevo modo se puede usar:

En conexiones a Internet desde lugares pblicos como aeropuertos, hoteles, convenciones, etc Desde dentro de la red cuando temporalmente sea necesario bloquear las mquinas por ataques imprevistos. Cuando el Firewall vuelve a su estado original todas las configuraciones previas se mantienen.

Seguridad desde el arranque

En versiones anteriores el Firewall no est activo hasta que este servicio arranca, lo que produce un retardo en la proteccin de la mquina, y permite ataques durante el arranque de la misma. Windows XP SP2 incluye una poltica de arranque para el Windows Firewall
Filtrado de paquetes bsico que permite arrancar servicios bsicos. Dynamic Host Configuration Protocol (DHCP) Domain Name System (DNS) Despus de que el servicio arranque este usa la configuracin del mismo.

Si Windows Firewall est desactivado, igualmente funciona.

Demo Firewall de Windows

13

Navegacin ms segura con Microsoft Internet Explorer

Mejoras en descarga, adjuntos y Authenticode Gestor de complementos y deteccin de problemas Barra de informacin Gestin de tipos MIME Cach de objetos Bloqueador de ventanas emergentes Publicadores de contenido no fiables Restricciones de ventana Elevacin de zona

Descarga, adjuntos, y mejoras en Authenticode

En qu consisten estas mejoras?
Cambios en los cuadros de dilogo:
Se ha aadido un nuevo icono Se ha aadido una rea de informacin en la parte inferior Todos los ejecutables descargados validan la informacin del emisor Despus de la descarga, Internet Explorer muestra la informacin del emisor de la descarga

Descarga, adjuntos, y mejoras en Authenticode (2)

Cuadros de dilogo actuales

Descarga, adjuntos, y mejoras en Authenticode (3)

Windows XP SP2: nuevos cuadros de dilogo

Gestor de complementos y deteccin de problemas

Qu hace el gestor de complementos y el detector de problemas?
El gestor de Add-on permite a los usuarios ver los controles instalados en Internet Explorer El detector de problemas permite detectar los complementos que causen problemas en Internet Explorer

Gestor de complementos y deteccin de problemas (2)

Interfaz de gestor de complementos

Barra de informacin
Qu hace la barra de informacin?
Reemplaza cuadros de dilogo Contiene textos descriptivos que explican por qu la accin se ha realizado Dispone de un men sensitivo al contexto para que el usuario responda a la notificacin

Configuracin de la zona de seguridad

Tres nuevas configuraciones en la zona de seguridad que ayudan a gestionar la compatibilidad con aplicaciones:
MIME sniffing Elevacin de zona Restricciones de Ventana

Configuracin de la zona de seguridad (2)

MIME sniffing

The following table lists the default values for the URLACTION_FEATURE_MIME_SNIFFING flag in each security zone.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer \Main\FeatureControl\FEATURE_MIME_SNIFFING

Configuracin de la zona de seguridad (3)

Elevacin de zona

The following table lists the default values for the URLACTION_FEATURE_MIME_SNIFFING flag in each security zone.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer \Main\FeatureControl\FEATURE_ZONE_ELEVATION

Elevacin de zona
Qu hace el bloqueo de elevacin de zona?
Muestra mensajes
El sitio actual est intentando abrir un archivo que est en su lista de sitios de confianza. Si confa en este sitio proceda pulsando OK. El sitio actual est en su lista de sitios restringidos y est intentando abrir un archivo que esta en su ordenador. Le recomendamos que no permita esto. En ambos casos , la accin por defecto no permite la elevacin de zona. El usuario debe permitir explcitamente dicha elevacin de zona.

Configuracin de la zona de seguridad (4)

Restricciones de ventana

The following table lists the default values for the URLACTION_FEATURE_MIME_SNIFFING flag in each security zone.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer \Main\FeatureControl\FEATURE_WINDOWS_RESTRICTIONS

Bloqueador de ventanas emergentes

Activado por defecto al instalar SP2 Bloqueo automtico de pop-ups Las ventanas abiertas por el usuario se siguen abriendo Los sitios de confianza y la Intranet local no bloquean ventanas ya que se consideran zonas seguras Configurable en el interfaz

Bloqueador de ventanas emergentes (2)

Configurable en la carpeta Privacidad, en el men Herramientas / Opciones de Internet)

Demo Internet Explorer

28

Correo seguro con Outlook Express

Cambios en la interoperabilidad con HTML Usa funciones seguras de Internet Explorer APIs para adjuntos

Interoperabilidad HTML
Opcin de texto plano
Realmente no es texto plano, es texto enriquecido

Filtrado de contenido HTML

No se descarga contenido HTML automticamente Indicador visual
Sin sonidos o frames

Interoperabilidad HTML (2)

Porqu?
Cdigo malicioso embebido Prevencin de confirmacin de IP y e-mail

Cmo?
Activado por defecto Se puede modificar desde el men Herramientas

Usa las funcionalidad de seguridad de Internet Explorer

Zonas AES API Manejo de Scripts Manejo de ActiveX Activado por defecto Modificable desde el men Herramientas

Demo Outlook Express

33

Recursos
Windows XP SP2 en TechNet:

http://www.microsoft.com/latam/techn et/productos/windows/windowsxp/
Windows XP SP2 en MSDN: http://msdn.microsoft.com/security/producti nfo/xpsp2/default.aspx

34

 2004 Microsoft Corporation. All rights reserved.

This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

35