WINDOWS SERVER 2008

BitLocker
Este nuevo sistema garantiza la seguridad y la confidencialidad de los datos
almacenados en el disco mediante cifrado.
BitLocker va a ser el encargado de realizar los procesos de cifrado y
descifrado de una forma totalmente transparente. Adicionalmente y a
diferencia de Windows Vista, podemos extender el cifrado de datos a otros
volmenes que utilicemos para tal fin.
Este mismo mecanismo interviene tambin cuando el equipo entra en el
modo de hibernacin o para garantizar tambin la seguridad del fichero de
paginacin, los ficheros temporales y todos aquellos elementos que puedan
contener informacin sensible.
Los mecanismos de seguridad implementados por BitLocker se
complementan mediante unas nuevas especificaciones de seguridad
hardware llamada Trusted Platform Module (TPM).
La implementacin de BitLocker requiere de la existencia de condiciones
determinadas para poderla llevar a efecto. Un factor a considerar es que el
sistema debe disponer al menos de dos particiones NTFS. Una de ellas, la
particin activa, albergar el sistema de arranque y no se encontrar
cifrada. Es por ello que BitLocker tambin proporciona mecanismos para
garantizar que no se han producido modificaciones en el sistema de
arranque del sistema, tales como los que pueden provenir de ataques tipo
malware que pudieran producir un ataque colateral o el control del acceso al
sistema.
Los mecanismos de implementacin pueden variar en funcin del escenario
que necesitemos implantar. Dependiendo del mismo son diversas las
posibilidades. De este modo podremos utilizar BitLocker slo con TPM, con
algn dispositivo de validacin (USB), TPM ms PIN, o TPM con dispositivo
de validacin (USB).
La implementacin de esta tecnologa depender fundamentalmente si
nuestro hardware presenta o no el chip TPM. Si no lo llevase, la nica opcin
posible sera el almacenamiento de clave bajo dispositivo USB.
Para todos aquellos que necesiten utilizar el cifrado y no posean el Chip
TPM, Windows Server 2008 presenta una directiva de seguridad bajo la cual
podemos condicionar el uso de BitLocker sin el citado Chip. Por defecto el
sistema slo admite la configuracin de BitLocker si el equipo cuenta con el
Chip.

Trusted Platform Module (TPM).

Este nuevo chip TPM proporciona una plataforma segura para el
almacenamiento de claves, password o certificados, haciendo ms difcil el
ataque contra las mismas. Una vez que el mecanismo de cifrado ha sido
puesto en marcha, la clave de cifrado es eliminada del disco y
posteriormente almacenada en el Chip TPM.

Con objeto de defendernos de un posible ataque al sistema hardware que

intente explotar posibles vulnerabilidades, se proporcionan mecanismos de
autentificacin mediante sistemas adicionales tales como el uso de Token
(llave USB) o una password (PIN) para evitar esta posibilidad.
Cabe decir en este punto que aunque nuestros equipos no dispusieran de
este mecanismo de seguridad, las especificaciones de BitLocker admiten su
funcionalidad sin el chip TPM.
NAP (NetWork Access Protection)
En la actualidad las redes corporativas y las no corporativas son cada da
ms complicadas de administrar y asegurar. Los escenarios presentan cada
vez circunstancias de mayor dificultad: comerciales que conectan sus PDAs
a los porttiles o equipos de sobremesa, conexin permanente por parte de
los usuarios de dispositivos de almacenamiento externo, usuarios que
presentan necesidades operativas en distintas redes de forma habitual son,
junto a otros, claros ejemplos de ello.
Estas circunstancias incrementan considerablemente las mltiples
amenazas de seguridad posibles como pueden ser malware, exploits,
spyware, DOS, Script-Kiddies y otros. Estas aplicaciones pueden tomar el
control de nuestro sistema, realizando acciones malvolas de forma
totalmente transparente. Lo peor de todo, aun as, es que adems pueden
utilizar el sistema comprometido como puerta de entrada de otras
amenazas.
La caracterstica NAP (NetWork Access Protection) es otra de las novedades
que nos ofrece Windows Server 2008 en cuanto a la securizacin del
sistema.
Podemos utilizar NAP para mitigar el impacto de situaciones como las antes
indicadas, y optimizar el nivel de proteccin de la red corporativa y la
informacin contenida en la misma.
Esta tecnologa se pens en un principio para que estuviese presente en
Microsoft Windows Server 2003 R2, pero finalmente en su lugar apareci
NAQS (Network Access Quarantine Control) integrndose con IAS (Internet
Authentication Service) como solucin de control de acceso para clientes de
acceso remoto. Esta implementacin a travs de una validacin del modelo
de seguridad va vbscripting, fue algo que ms tarde apareci integrado en
la solucin de Microsoft ISA Server 2004 a travs de una caracterstica
conocida como VPN Quarantine.
La implementacin de NAP en Windows Server 2008 nos permite especificar
cul es la poltica de salud de nuestra red. De este modo se establecen una
serie de condiciones que ayudarn a los administradores a determinar que
equipos de los que se conecten a nuestra red desde cualquier medio (VPN,
Internet, Wireless junto a otros) cumplen con una poltica de salud aceptable
y acorde a las directrices de la seguridad corporativa.
Si para nosotros una buena poltica de salud pasa por defendernos de las
enfermedades, hacer ejercicio de forma constante, una buena alimentacin,
etc., para un equipo una buena poltica de salud pasara por disponer de un
antivirus a pleno funcionamiento y con las firmas actualizadas, tener

instaladas todas las actualizaciones de seguridad, junto a otras medidas de

seguridad que puedan considerarse como imprescindibles. Para los equipos
que no cumpliese con la poltica de seguridad establecida, podran ser dos
las circunstancias: en primer lugar que no fuese posible la conexin a
nuestra red corporativa o como alternativa que esta fuese limitada. En este
segundo caso la conexin se realizara pero en una red aislada de toda la
corporacin, con acceso slo a algunos recursos, y a la espera de poder
cumplir con los mnimos requisitos de salud.
Ventajas:
Asegurar una poltica de salud en nuestros equipos que se configuren para
DHCP, equipos que se conecten a travs de mecanismos de autenticacin
802.1X, VPN, y equipos que tengan una poltica de seguridad NAP IPSEC
aplicadas a sus comunicaciones.
Reforzar la poltica de seguridad y de salud en equipos porttiles, cuando
stos vuelvan a conectarse a nuestra red
Restringir el acceso a nuestra red a todo equipo que no cumpla con la
poltica de salud de la compaa.
NAP tambin incluye una API (Aplication Programming Interface) para
desarrolladores. A travs de ella ser posible la generacin de componentes
de seguridad realizados a medida de las necesidades del sistema
corporativo
Una infraestructura NAP requiere de un servidor Windows Server 2008 para
su despliegue, y los clientes soportados son Windows Server 2008, Windows
Vista y Windows XP SP2. Para ste ltimo, necesitamos instalar el cliente
NAP para Windows XP.
Estas tecnologas pueden ser utilizadas en forma independiente o junto a
otras en funcin del modelo de seguridad y la infraestructura a utilizar. La
implementacin de polticas de salud se realiza a travs de un NPS (Network
Policy Server) disponible en Microsoft Windows Server 2008.y que
reemplaza a IAS (Internet Authentication Service) presente en Microsoft
Windows Server 2000/2003.
NAP se va a responsabilizar de llevar a efecto una serie de acciones:
Validacin de la poltica
Aplicacin de NAP
Restriccin (cuando sta es necesaria)
Establecer las pautas para adecuar el nivel de salud de un cliente
Supervisin

SHVs (System Health Validators)

NPS utiliza SHVs para analizar el estado de salud del equipo. SHVs viene
incorporado dentro de las polticas de red, y determina la accin a tomar

basndose en el estado de salud del equipo que se conecta. Como

indicbamos las acciones que se pueden desencadenar son varias: conceder
el acceso a toda la red en aquellas situaciones en que se cumplen las
demandas de seguridad establecidas o por el contrario denegar el acceso o
limitar el mismo a una red de cuarentena en caso contrario.
El estado de salud de un equipo es monitoreado por una parte del cliente
NAP, denominada SHAs (System Health Agent). La proteccin de acceso a la
red utiliza en definitiva SHAs y SHVs para monitorizar, reforzar y remediar la
configuracin de seguridad-salud de un equipo.
Windows Security Health Validation y Windows Security Health Agent se
encuentran incluidos en Windows Server 2008 y Windows Vista. Ellos
refuerzan las siguientes configuraciones en un entorno NAP protegido:
El PC cliente tiene el Firewall instalado y en funcionamiento
El PC cliente tiene el antivirus instalado y en funcionamiento
El PC cliente tiene las ltimas bases de virus instaladas
El PC cliente tiene el software anti-spyware instalado y en funcionamiento
El PC cliente tiene las ltimas bases anti-spyware instaladas
El PC cliente tiene habilitado Microsoft Update Services

WINDOWS 7
Windows Defender
El Windows Defender es un componente integrante del SO desde Windows
Vista. Consiste en un escner que detecta programas espa. Pero en las
pruebas comparativas, el Windows Defender no ha sabido afi rmarse. En
una prueba comparativa con varios productos antivirus, realizada hace
pocos meses, WD solo reconoci el 20% de los programas dainos
instalados. En las pginas Web que pretendan instalar spyware, este
componente pudo mejorar un poco la cuota, al 37,5%. Unos de los
problemas del Defender es que solo utiliza el reconocimiento de base hash y
ningn fi ltro URL propio. Para ser justos, en realidad Microsoft no ha
previsto el Windows Defender como una proteccin antivirus de pleno
derecho. Solo tiene por objetivo proteger del principal spyware y malware
de Windows. El usuario poco experto podra considerar al Windows Defender
un sustituto de la proteccin antivirus y albergar por eso una sensacin de
falsa seguridad. Pero Windows Defender no pretende ni puede sustituir un
antivirus de cuerpo entero.

AppLocker
Con AppLocker los administradores controlan las aplicaciones que estn
autorizadas a ejecutarse en la red corporativa. Esto ya se poda hacer en
Windows XP y Vista con las polticas de restriccin de software, pero esta
funcin tuvo poca aceptacin entre los administradores porque actualizar

estas reglas en seguida llevaba mucho ms tiempo del deseado. Por

ejemplo, en cada actualizacin haba que generar y editar un nuevo valor
hash. Mediante las Reglas de editor ahora se pueden vincular programas
permanentemente porque se utiliza como identificador la firma digital que
ya usan la mayor parte de las aplicaciones. Los parmetros configurables
son: el fabricante, el nombre del producto, los nombres de los archivos y el
nombre de la versin. Con estos criterios puede tambin bloquearse,
naturalmente, la ejecucin de determinadas aplicaciones. AppLocker puede
convertirse en un arma efectiva en la lucha contra el software daino. Las
reglas del editor facilitan la utilizacin de este instrumento. No obstante,
tambin los certificados se pueden soslayar y por eso es de temer que la
proteccin que proporciona sea solo temporal.
Las reglas de AppLocker tambin se pueden asociar con un usuario o grupo
especfico al interior de una organizacin. Esto ofrece controles
pormenorizados que permiten admitir requisitos de cumplimiento, mediante
la validacin y la aplicacin de los usuarios que pueden ejecutar
aplicaciones especficas. Por ejemplo, se puede crear una regla para
permitir que las personas del departamento de finanzas ejecuten la lnea
de finanzas de las aplicaciones de negocios. Esto impide que cualquier
persona que no pertenezca al departamento de finanzas ejecute
aplicaciones financieras (incluidos los administradores), pero permite el
acceso a personas que tengan necesidades de negocios de ejecutar las
aplicaciones.
Cortafuegos - Firewall
Microsoft se ha tomado muy a pecho las crticas que cosech los
cortafuegos de Windows y en Windows 7 ha pulido mucho el confort de
manejo de los cortafuegos. Se crean reglas automticas para ciertas
aplicaciones. Los asistentes de reglas hacen tambin ms sencillo
administrar los conjuntos de reglas. Ahora, con los asistentes se pueden
crear con toda facilidad nuevos conjuntos de reglas. Adems se puede
configurar que el cortafuegos acte de modo acorde con distintos entornos:
por ejemplo, para las WLANs pblicas se pueden definir reglas ms estrictas
que para la red corporativa. En el nuevo SO tambin se pueden asignar
perfiles distintos a cada tarjeta de red. Casi nadie pone en duda que es
necesario utilizar los cortafuegos, pero casi todos sabemos que no es buena
idea transferir luego a los usuarios la tarea de crear y actualizar los
conjuntos de reglas. La mayor parte de los usuarios particulares no tienen
los conocimientos necesarios y lo hacen al albur. Pero un clic equivocado
puede llevarles a bloquearse el acceso a Internet o a que ya no puedan
utilizar la impresora de la red. Ahora, como siempre, no es una buena
solucin preguntar al usuario en caso de duda. Lo mejor aqu es un
cortafuegos que decida por s mismo los datos que pueden pasar y los que
no. Esta funcin solo la ofrecen los productos especializados en seguridad
en Internet. No ha desaparecido, por cierto, la opcin de desactivar los
cortafuegos completamente, posibilidad de la que pueden aprovecharse
tambin los programas dainos. El cortafuego de Windows no tiene una
caracterstica de autoproteccin como los cortafuegos de los productos ms
corrientes de seguridad informtica. Aqu los cortafuegos comerciales son
ms efectivos y tiene un alcance mucho mayor.

Control de cuentas de usuario simplificado

El control de cuentas de usuario (UAC) se introdujo en Windows Vista para
ayudar a aplicaciones heredadas a ejecutarse con derechos de usuario
estndar y ayudar a los ISV a adaptar su software para que funcione bien
con derechos de usuario estndar. Windows 7 contina la inversin en UAC
con cambios especficos para mejorar la experiencia de usuario. Estos
cambios incluyen reducir el nmero de aplicaciones de sistema operativo y
de tareas que exigen privilegios administrativos, as como proporcionar un
comportamiento de peticin de consentimiento flexible para usuarios que
continan ejecutndose con privilegios administrativos. Como resultado, los
usuarios estndar pueden hacer ms que nunca y todos los usuarios ven
menos peticiones.
El UAC (Control de Acceso a Usuarios) es la funcionalidad que permite
controlar los privilegios de los usuarios que hacen uso del sistema cuando
se ejecutan tareas administrativas que accedan o modifiquen archivos
crticos del sistema. En contraposicin con Windows XP, en donde se instala
por defecto una cuenta de usuario con permisos administrativos (e
irrestrictos) al sistema; UAC ofrece una capa de proteccin importante,
denegando la ejecucin de tareas que pueden ser maliciosas o indeseadas,
sin la autorizacin del usuario. Aunque fue introducido en Windows Vista, se
han realizado una serie de modificaciones en esta nueva versin del sistema
operativo. Debido al gran salto que implic para los usuarios la
incorporacin de esta funcionalidad, la misma recibi muchas crticas por su
claro impacto en la usabilidad del sistema. Por tal motivo, Microsoft ha
introducido algunos cambios en esta nueva versin. En las configuraciones
por defecto:

UAC no se activar cuando el sistema detecte que los permisos

fueron solicitados por el mouse o el teclado. Slo se activar cuando
identifique la necesidad de tareas administrativas por parte de
procesos o acciones automatizadas.
Permisos administrativos solicitados por aplicaciones firmadas a
travs de un certificado digital, tampoco activarn el UAC.

En otras palabras, Windows 7 ha moderado el Control de Acceso a Usuarios,

equilibrando la relacin seguridad/usabilidad, en funcin de los pedidos de
los propios usuarios para no recibir tantas alertas durante el uso de la
computadora. Cabe destacar que el UAC puede configurarse para alertar
ante todo tipo de acceso administrativo al sistema, y es recomendable
hacerlo. El UAC es una caracterstica de seguridad de mucha utilidad para la
prevencin de cdigos maliciosos. Por ejemplo, familias de troyanos como
Win32/Qhost, que intentan utilizar tcnicas de pharming local [3]
modificando el archivo hosts del sistema, no podrn realizar sus tareas sin la
autorizacin del usuario, si es que ste tiene correctamente configurado el
Control de Acceso a Usuarios. Esto es extensible a otras familias de cdigos
maliciosos que modifican archivos del administrador del sistema (no el
entorno del usuario). Para enfrentar esta barrera de seguridad, los creadores
de cdigos maliciosos seguramente utilizarn la Ingeniera Social como
principal tcnica: si el usuario desea ejecutar el archivo, l mismo autorizar
la ejecucin del mismo en el sistema. Adems, en las versiones Beta de

Windows 7 existieron pruebas de concepto para engaar al UAC (en su

configuracin por defecto), simulando que acciones de procesos
automticos aparenten ser ejecutados por el usuario (mouse y teclado).
Aunque esta vulnerabilidad ya fue reparada en la versin final de Windows
7, la explotacin de vulnerabilidades (en caso que apareciera una nueva)
ser un factor de provecho por el malware.
Autoplay
La ejecucin automtica de archivos ante la conexin de dispositivos USB (o
similares), tambin conocida como Autorun, ha sido una de las
funcionalidades ms aprovechadas por creadores de malware para infectar
sistemas. Diversos gusanos han utilizado estos dispositivos como mtodo de
propagacin. Desde el gusano Conficker hasta otra gran cantidad de
variantes (identificadas genricamente por ESET NOD32 como INF/Autorun y
Win32/Autorun) que han ocupado los primeros puestos en los rankings de
deteccin realizados mensualmente por ESET Latinoamrica. Luego de
haber liberado parches para deshabilitar el Autorun en las versiones
anteriores del sistema operativo [5], Microsoft ha decido eliminar por
defecto la ejecucin automtica de dispositivos USB en Windows 7,
suplantndola por una nueva funcionalidad: Autoplay. Bsicamente, sta
consiste en que slo los dispositivos pticos, tales como CD o DVD,
utilizarn la opcin de ejecutar automticamente archivos al ser insertados.
Otro tipo de medios, como dispositivos USB, tarjetas de memoria, u otros;
no contarn con esta alternativa, visualizando el usuario solo las opciones
principales de navegacin.
Biometric Framework
Framework La funcionalidad Windows Biometric Framework (WBF) es una
adicin a Windows 7 que ofrece soporte para la utilizacin de dispositivos
biomtricos de lectura de huellas dactilares. Aunque esta funcionalidad
parece no tener impacto directo en los cdigos maliciosos, cabe destacar
que la utilizacin de contraseas fuertes es una prctica de gran
importancia para versiones anteriores de Windows, y que debe seguir
siendo considerada para cualquier sistema que requiera clave de acceso.
Sin embargo, en tanto y en cuanto se comiencen a utilizar soportes de login
que no requieran usuario y contrasea, los usuarios podrn tener una capa
de proteccin ante cdigos maliciosos diseados para robar claves de
acceso, como Win32/Mebroot.

Disponibilidad de los mecanismos de proteccin en las distintas versiones de Windows 7

Explotacin de vulnerabilidades
Independientemente de cualquier mejora de seguridad, la aparicin de
vulnerabilidades es siempre un vector de ataque que puede ser utilizado por
gusanos para su propagacin. Por lo tanto, a medida que aparezcan
vulnerabilidades en el nuevo sistema operativo, aparecern los exploits y,
en consecuencia y de ser aplicable, gusanos que aprovechen los mismos
para infectar sistemas. Ante la explotacin de una vulnerabilidad que
permita ejecutar un cdigo remoto, las medidas de seguridad antes
expuestas no sern aplicables y un gusano de este tipo podr ejecutar las
acciones que desee, incluso si stas son crticas o administrativas. Una
epidemia como la ocurrida con el gusano Conficker podra ocurrir en
Windows 7, siempre y cuando los usuarios no sean conscientes de la
importancia que las actualizaciones de seguridad tienen.

Infeccin del entorno del usuario

As como el UAC previene la ejecucin de tareas administrativas, que por lo
general infectan, alteran o modifican archivos del sistema; ciertos cdigos
maliciosos no necesitan de estos recursos para lograr su cometido.
Particularmente se destacan aquellos malware del tipo bot, diseados para
convertir a los sistemas en equipos zombis, y que por lo general slo
necesitan ejecutarse al inicio de sesin. Es decir, slo necesitan alterar el
entorno del usuario, sin necesidad de permisos administrativos (sobre todo
el sistema). Cdigos maliciosos como las familias Win32/Zbot o Win32/Agent
pueden ser ejecutados en esta versin del sistema operativo. Algunas
variantes de estos fueron probadas con xito sobre la versin lanzada de
Windows 7.