Fortificación de SharePoint 2010

Rubén AlonsoMicrosoft MVP SharePoint

ralonso@infomatica64.comhttp://www.puntocompartido.com/blogshare

Agenda

Fortificación de la arquitectura

Modelo de seguridad en SharePoint

Planes de respaldoGestión de la auditoríaProtección contra fugas de

datosPublicación segura

Fortificación de la arquitectura

Fortificación de sistemas Dependiente del rol/roles a desempeñar por el

sistema, se realizaran configuraciones ajustadas aplicando las reglas de fortificación: MPE (Mínimo Punto de Exposición): Un sistema deje

ejecutar sólo aquel software imprescindible para el desempeño de sus funciones

MPP (Mínimo Privilegio Posible): Todos los componentes de un sistema deben ser ejecutados con los privilegios mínimos imprescindibles

DeP (Defensa en Pronuncidad): Un sistema debe aplicar tantas medidas de seguridad como pueda, asumiendo que todas las anteriores han fallado, siempre y cuando una medida de seguridad no anule a otras y la disponibilidad del sistema no se degrade

Administrador del servidor

Servidores de Microsoft configurados en base a roles mediante la herramienta Server Manager

Aplica el principio del Mínimo Punto de Exposición

No configura reglas de firewall, opciones de seguridad en servicios o configuraciones de registro ajustadas a la seguridad

Asistente de Configuración de Seguridad

Disponible para plataformas Windows Server 2003 o superior a partir de SP1

Configuración automática del sistema en función de los roles que se ejecuten

Reduce la superficie de ataque mediante conjuntos de preguntas al usuario por el entorno que se desea obtener para determinar los parámetros de seguridad

Se encarga de: Deshabilitar servicios innecesarios Desactiva extensiones web innecesarias en IIS Bloque de puertos no utilizados y apertura de puertos

segura utilizando IPSec Configura parámetros de auditoría (acciones y resultados

auditados en el registro de eventso) Importa plantillas de seguridad existentes Reduce la exposición del protocolo para LDAP, NTLM y

Server Message Block Plantillas de reducción de superficie en entornos

SharePoint para el asistente de configuración de seguridad mediante Microsoft SharePoint 2010 Administration Toolkit v1.0

Microsoft Baseline Security Analyzer

Herramienta de auditorías de seguridad

Detecta fallos o deficiencias en las actualizaciones de seguridad o en apartados que inciden directamente en SharePoint como: Seguridad en el sistema Windows Seguridad en Internet Information

Services Seguridad en SQL Server Configuraciones administrativas

Monitorización de servicios

Control de arquitecturas SharePoint mediante System Center Operations Manager (SCOM) Microsoft SharePoint Foundation Management Pack for

SCOM 2007 Microsoft SharePoint 2010 Management Pack for SCOM

2007 SCOM incorpora un asistente de monitorización de

sitios que permite: Realizar conexiones periódicas entre distintos equipos

desde distintos lugares de la organización verificando y comprobando la accesibilidad y su estado funcional

Monitorización de los intervalos de respuesta obtenidos Control de servidores en ubicaciones o sitios geográficos

dispersos mediante la gestión de aplicaciones distribuidas

Actualizaciones periódicas

Plan de actualizaciones periódicas mediante el rol Windows Server Update Services (WSUS)

Monitorización a través de políticas de grupo del estado de salud en cuanto a actualizaciones se refiere

Entornos más avanzados como System Center Configuration Manager (SCCM) permiten la opción de un despliegue forzado de actualizaciones

Modelo de seguridad en SharePoint

Cuentas administradas Se incorpora la gestión de cuentas

administradas con cambios de contraseñas automático

Administración más coherente de cuentas utilizadas en los grupos de aplicaciones o servicios de SharePoint

Seguridad en aplicaciones web

Directiva de usuario de aplicación web Permiten administrar los permisos que se aplicarán sobre una

determinada aplicación web a usuarios o grupos Útil para establecer que distintos usuarios o grupos de

seguridad obtengan diferentes niveles de acceso a través de una zona a todas las colecciones de sitios dentro de una aplicación web

Métodos de autenticación Autenticación en modo clásico

Permite el uso de proveedores de autenticación Windows Anónima, básica, NTLM, implícita, certificados, negociación

(kerberos) Autenticación basada en notificaciones

Basada en Microsoft Windows Identity Foundation (WIF) Permite el uso de proveedores de autenticación Windows,

autenticación basada en formularios (FBA) y autenticación basada en token SAML permitiendo el uso de:

Servicios de federación de Active Directory Windows Live ID Proveedores de identidad de terceros

Servicio de almacenamiento Seguro

Aplicación de servicio que sustituye a la característica de inicio de sesión único existente en la versión anterior

Configuración requerida para proporcionar soporte a otras aplicaciones de servicio que requieran de credenciales de acceso a orígenes de datos externos

Se utiliza una base de datos segura donde se almacenan identificadores de aplicación para ser recuperados en el acceso a los orígenes de datos

Privilegios de acceso Privilegios de acceso a la granja

Administrador de la granja de servidores

Administrador de la aplicación de servicio

Privilegios de acceso al contenido Permisos de usuario de la aplicación

web Administrador de la colección de sitios Modelo de seguridad de una colección

de sitios Usuarios y grupos Niveles de permisos Acceso anónimo

Características de seguridad

Integración con RMS Tipos de archivos bloqueados Manejo de archivos en el explorador

HTTP X-Download-options:noopen Analizador de salud de SharePoint

Métricas de seguridad

Planes de respaldo

Copias de seguridad Copia de seguridad del conjunto de

servidores Panel de disponibilidad:

Indicadores visuales que nos advierten de si podemos realizar una copia de seguridad con éxito

Copia de seguridad de servicios: Servicios de Excel, servicios de Formularios de

Infopath, etc … Limpieza de trabajos de copia de seguridad

automática Parámetros preconfigurados

Nº de subprocesos Ubicación de la copia de seguridad

Copia de seguridad mediante PowerShell

Copias de seguridad Copia de seguridad pormenorizada

Copia de seguridad de una colección de sitios

Exportación de sitios o listas mediante entorno gráfico

La exportación de sitios o listas permite elegir:Exportar el modelo de seguridadExportar la información de versiones

Gestión de auditorías

Gestión de auditorías La gestión de contenido empresarial

engloba: Administración de documentos Administración de registros Administración de activos digitales

La administración de documentos engloba: Navegación mediante metadatos Control de versiones Aprobación de documentos Directivas de administración de la

información Encargadas de los registros de

auditoría

Gestión de auditorías Directivas de administración de

información Auditorías Códigos de barras Retención Etiquetas

Informes de uso de directivas Informes de registros de auditoría Configuración de auditoría de la

colección de sitios Registro de diagnósticos

Protección contra fugas de datos

Protección contra fugas de datos

Riesgos de seguridad y privacidad asociados a los metadatos (Tony Blair in the butt)

Esquema Nacional de la Seguridad Artículo 5.7.6 «Limpieza de documentos»

Prevención de Fuga de Datos (Data Lost Prevention) mediante herramientas de limpieza de metadata Microsoft Office XP, 2003: Remove Hidden Data

Tool Add-in Microsoft Office 2007, 2010: Nativo mediante el

menú Preparar

MetaShield Protector Herramienta para la eliminación de datos

ocultos en sitios web y arquitecturas SharePoint

Protección contra fugas de datosFuncionamiento de MetaShield Protector:

MetaShield Protector “captura” las peticiones de ficheros al Servidor Web.

Recupera el contenido del fichero y lo limpia en memoria. Sirve el fichero limpio al cliente http://www.metashieldprotector.com

Publicación segurahttp://www.metashieldprotector.com

Publicación segura Gestión antimalware y filtrado,

protección de datos en tránsito o publicación segura mediante comprobación de seguridad en cliente mediante línea Forefront: Protección antimalware con Forefront

Protection for SharePoint 2010 (Antivirus)

Protección perimetral con Forefront Unified Access Gateway 2010 (Portal de autenticación unificado y comprobación de seguridad en el equipo cliente)

Protección con Forefront Threat Management Gateway 2010 (Firewall)

Información de interés Punto compartido (

http://www.puntocompartido.com/blogshare) Informática 64 (http://www.informatica64.com) Seguros con Forefront (http://www.forefront-es.com) Libro Microsoft SharePoint 2010: Seguridad http://

www.informatica64.com/libros.aspx SharePoint User Group Spain , SUGES (http://www.suges.es)

Más acciones desde TechNet

Para ver los webcast grabados sobre éste tema y otros temas, diríjase a:

http://www.microsoft.es/technet/jornadas/webcasts/webcasts_ant.asp

Para información y registro de Futuros Webcast de éste y otros temas diríjase a:

http://www.microsoft.es/technet/jornadas/webcasts/default.asp

Para mantenerse informado sobre todos los Eventos, Seminarios y webcast

suscríbase a nuestro boletín TechNet Flash en ésta dirección:

http://www.microsoft.es/technet/boletines/default.mspx

Descubra los mejores vídeos para TI gratis y a un solo clic:

http://www.microsoft.es/technet/itsshowtime/default.aspx

Para acceder a toda la información, betas, actualizaciones, recursos, puede

suscribirse a Nuestra Suscripción TechNet en:

http://www.microsoft.es/technet/recursos/cd/default.mspx