Curso de Verano de Seguridad y Auditoría

Informática – Entornos SharePoint

Rubén Alonso CebriánMVP SharePoint Serverhttp://www.puntocompartido.com

Fortificación de servidores en tecnologías SharePoint

►Dependiente del rol/roles a desempeñar por el sistema, se realizaran configuraciones ajustadas aplicando las reglas de fortificación:

MPE (Mínimo Punto de Exposición): Un sistema deje ejecutar sólo aquel software imprescindible para el desempeño de sus funciones

MPP (Mínimo Privilegio Posible): Todos los componentes de un sistema deben ser ejecutados con los privilegios mínimos imprescindibles

DeP (Defensa en Profundidad): Un sistema debe aplicar tantas medidas de seguridad como pueda, asumiendo que todas las anteriores han fallado, siempre y cuando una medida de seguridad no anule a otras y la disponibilidad del sistema no se degrade

Administrador del servidor

►Servidores de Microsoft configurados en base a roles mediante la herramienta Server Manager

►Aplica el principio del Mínimo Punto de Exposición►No configura reglas de firewall, opciones de seguridad

en servicios o configuraciones de registro ajustadas a la seguridad

Asistente de Configuración de Seguridad► Disponible para plataformas Windows Server 2003 o superior a partir de SP1► Configuración automática del sistema en función de los roles que se ejecuten► Reduce la superficie de ataque mediante conjuntos de preguntas al usuario por el

entorno que se desea obtener para determinar los parámetros de seguridad► Se encarga de:

Deshabilitar servicios innecesarios Desactiva extensiones web innecesarias en IIS Bloqueo de puertos no utilizados y apertura de puertos segura utilizando IPSec Configura parámetros de auditoría (acciones y resultados auditados en el registro

de eventos) Importa plantillas de seguridad existentes Reduce la exposición del protocolo para LDAP, NTLM y Server Message Block

► Plantillas de reducción de superficie en entornos SharePoint para el asistente de configuración de seguridad mediante Microsoft SharePoint 2010 Administration Toolkit v2.0

Asistente de Configuración de Seguridad

► Pasos: Instalar los archivos de manifiesto Ejecución del asistente de

configuración Creación de directiva de seguridad Configuración de servicios basados en rol de servidor SharePoint Configuración de seguridad de red Configuración de política de auditado Conversión de directiva en Group Policy Object (opcional)

Asistente de Configuración de Seguridad► Disponible para plataformas Windows Server 2003 o superior a partir de SP1► Configuración automática del sistema en función de los roles que se ejecuten► Reduce la superficie de ataque mediante conjuntos de preguntas al usuario por el

entorno que se desea obtener para determinar los parámetros de seguridad► Se encarga de:

Deshabilitar servicios innecesarios Desactiva extensiones web innecesarias en IIS Bloqueo de puertos no utilizados y apertura de puertos segura utilizando IPSec Configura parámetros de auditoría (acciones y resultados auditados en el registro

de eventos) Importa plantillas de seguridad existentes Reduce la exposición del protocolo para LDAP, NTLM y Server Message Block

► Plantillas de reducción de superficie en entornos SharePoint para el asistente de configuración de seguridad mediante Microsoft SharePoint 2010 Administration Toolkit v2.0

Microsoft Baseline Security Analyzer► Herramienta de auditoría de seguridad► Detecta fallos o deficiencias en las actualizaciones de seguridad o en apartados que inciden

directamente en SharePoint como: Seguridad en el sistema Windows Seguridad en Internet Information Services Seguridad en SQL Server Configuraciones administrativas

Monitorización de servicios

►Control de arquitecturas SharePoint mediante System Center Operations Manager (SCOM)

Microsoft SharePoint Foundation Management Pack for SCOM 2007 Microsoft SharePoint 2010 Management Pack for SCOM 2007

►SCOM incorpora un asistente de monitorización de sitios que permite:

Realizar conexiones periódicas entre distintos equipos desde distintos lugares de la organización verificando y comprobando la accesibilidad y su estado funcional

Monitorización de los intervalos de respuesta obtenidos Control de servidores en ubicaciones o sitios geográficos dispersos mediante

la gestión de aplicaciones distribuidas

Actualizaciones periódicas

►Plan de actualizaciones periódicas mediante el rol Windows Server Update Services (WSUS)

►Monitorización a través de políticas de grupo del estado de salud en cuanto a actualizaciones se refiere

►Entornos más avanzados como System Center Configuration Manager (SCCM) permiten la opción de un despliegue forzado de actualizaciones

Cuentas administradas

►Se incorpora la gestión de cuentas administradas con cambios de contraseñas automático

►Administración más coherente de cuentas utilizadas en los grupos de aplicaciones o servicios de SharePoint

Seguridad en aplicaciones web► Directiva de usuario de aplicación web

Permiten administrar los permisos que se aplicarán sobre una determinada aplicación web a usuarios o grupos

Útil para establecer que distintos usuarios o grupos de seguridad obtengan diferentes niveles de acceso a través de una zona a todas las colecciones de sitios dentro de una aplicación web

► Métodos de autenticación Autenticación en modo clásico

Permite el uso de proveedores de autenticación Windowso Anónima, básica, NTLM, implícita, certificados, negociación (kerberos)

Autenticación basada en notificacionesBasada en Microsoft Windows Identity Foundation (WIF)Permite el uso de proveedores de autenticación Windows, autenticación basada en formularios (FBA) y autenticación basada en token SAML permitiendo el uso de:o Servicios de federación de Active Directoryo Windows Live IDo Proveedores de identidad de terceros

Servicio de almacenamiento Seguro

►Aplicación de servicio que sustituye a la característica de inicio de sesión único existente en la versión anterior

►Configuración requerida para proporcionar soporte a otras aplicaciones de servicio que requieran de credenciales de acceso a orígenes de datos externos

►Se utiliza una base de datos segura donde se almacenan identificadores de aplicación para ser recuperados en el acceso a los orígenes de datos

Privilegios de acceso►Privilegios de acceso a la granja

Administrador de la granja de servidoresAdministrador de la aplicación de servicio (NUEVO)

►Privilegios de acceso al contenidoPermisos de usuario de la aplicación webAdministrador de la colección de sitiosModelo de seguridad de una colección de sitios

Usuarios y gruposNiveles de permisosAcceso anónimo

Características de seguridad

► Integración con RMS► Configuración de antivirus► Tipos de archivos bloqueados► Manejo de archivos en el explorador

HTTP X-Download-options:noopen► Analizador de salud de SharePoint

Enfoque proactivo mediante métricas utilizadas por SharePoint Health Analyzer detectando problemas y recomendado soluciones para:

Errores de configuración Errores de rendimiento Errores de seguridad

Copias de seguridad

►Copia de seguridad del conjunto de servidoresPanel de disponibilidad:

Indicadores visuales que nos advierten de si podemos realizar una copia de seguridad con éxito

Copia de seguridad de servicios:Servicios de Excel, servicios de Formularios de Infopath, etc …

Limpieza de trabajos de copia de seguridad automáticaParámetros preconfigurados

Nº de subprocesosUbicación de la copia de seguridad

Copia de seguridad mediante PowerShell

Copias de seguridad

►Copia de seguridad pormenorizadaCopia de seguridad de una colección de sitiosExportación de sitios o listas mediante entorno gráfico

La exportación de sitios o listas permite elegir:Exportar el modelo de seguridadExportar la información de versiones

Gestión de auditorías

►La gestión de contenido empresarial engloba:Administración de documentosAdministración de registrosAdministración de activos digitales

►La administración de documentos engloba:Navegación mediante metadatosControl de versionesAprobación de documentosDirectivas de administración de la información

Encargadas de los registros de auditoría

Gestión de auditorías

►Directivas de administración de informaciónAuditoríasCódigos de barrasRetenciónEtiquetas

►Informes de uso de directivas►Informes de registros de auditoría►Configuración de auditoría de la colección de sitios►Registro de diagnósticos

Protección contra fugas de datos►Riesgos de seguridad y privacidad asociados a los

metadatos (Tony Blair in the butt)►Esquema Nacional de la Seguridad

Artículo 5.7.6 «Limpieza de documentos»►Prevención de Fuga de Datos (Data Lost Prevention)

mediante herramientas de limpieza de metadataMicrosoft Office XP, 2003: Remove Hidden Data Tool Add-inMicrosoft Office 2007, 2010: Nativo mediante el menú Preparar

►MetaShield ProtectorHerramienta para la eliminación de datos ocultos en sitios web

y arquitecturas SharePoint

Protección contra fugas de datos

Funcionamiento de MetaShield Protector:► MetaShield Protector “captura” las peticiones de ficheros al Servidor Web.► Recupera el contenido del fichero y lo limpia en memoria.► Sirve el fichero limpio al cliente

Publicación segura►Gestión antimalware y filtrado, protección de datos en tránsito

o publicación segura mediante comprobación de seguridad en cliente mediante línea Forefront:

Protección antimalware con Forefront Protection for SharePoint 2010 (Antivirus y filtrado)

Protección perimetral con Forefront Unified Access Gateway 2010 (Portal de autenticación unificado y comprobación de seguridad en el equipo cliente)

Protección con Forefront Threat Management Gateway 2010 (Firewall) con funciones de publicación de sitios mediante proxy inverso.

Rol de servidor de base de datos

►Herramienta de Configuración de Superficie de Área Expuesta en SQL Server 2005 sustituida por Declarative Management Framework y uso de directivas

►Descarga de políticas mediante SQL Server Feature Pack Incluyen best practices de securidad

►Uso de auditorias mediante entorno gráfico. Dos ámbitos:De servidor De base de datos

Función get_audit_file_dest para auditorías en disco

Pentest en servidores SharePoint

►Por su puertos de administraciónEscáner de puertos tipo NMAP en busca de puertos abiertos Puerto de administración aleatorio por encima del 1024

►Por búsquedas en Google Búsquedas de rutas o archivos de publicación más comunes

/layouts, *.deleteweb.aspx, etc.►Por búsquedas en Shodan

Búsquedas por direcciones IP, routers, servicios y sistemas operativos

Errores comunes

►Falta de actualizaciones, hotfix, cumulatives updates, etc.. o mala implementación a nivel de SSOO, BBDD o SharePoint

Errores comunes

Equivocada implementación de inicioSharePoint requiere de tres cuentas de servicio principales:

Cuenta de acceso al contenido (Farm Administrator) Cuenta de instalación/actualización del entorno Cuenta para el servicio SQL Server

Generalmente estas cuentas infringen el principio de privilegio mínimo posible al utilizar cuentas pertenecientes a administradores del dominio o con privilegios elevados

Errores comunesCuenta de acceso al contenido (Farm Administrator)

Cuenta de acceso a la base de datos Utilizada para ejecutar el servicio temporizador de SharePoint (SharePoint timer Service) y el servicio del sitio web

de la consola central de administración de SharePoint

Cuenta de instalación/actualización del entorno Utilizada para procesos de instalación/configuración. Propietaria de la base de datos SharePoint_Config Miembro del grupo de administradores locales en cada servidor donde se instale SharePoint 2010. Deberá poseer acceso al servidor SQL con las siguientes funciones de seguridad de SQL Server: Securityadmin y

dbcreator No debe tener privilegios especiales a nivel de sistema. Al ejecutar la instalación y configuración de SharePoint, los

procesos de configuración y el ejecutable psconfig.exe utilizarán sus credenciales para crear las bases de datos y los inicios de sesión en SQL para las cuentas de SharePoint.

Deberá poseer el rol de base de datos SharePoint_Shell_Access para cualquier base de datos que desea crear o modificar mediante el uso de Windows PowerShell.

Cuenta para el servicio SQL Server (Utilizada en el servicio SQL Server/SQL Server Agent) Cuenta de sistema local o una cuenta de usuario de dominio, dando prioridad a esta última. Esta cuenta de dominio no debería formar parte en Active Directory del grupo Administradores del dominio ni tener

permisos específicos a nivel de dominio Los privilegios y derechos necesarios serán asignados localmente en el servidor SQL durante la instalación de SQL

Server (sysadmin, securityadmin, etc…).

Umbrales de rendimiento

► Un uno inadecuado de los repositorios puede causar inestabilidad en el entorno de gestión documental

► SharePoint 2010 proporciona como novedad la gestión de umbrales de rendimiento

► Microsoft proporciona WhitePapers de pruebas de rendimiento

Y no nos olvidemos del cifrado

►Uso de certificados SSL para cifrar datos en tránsito en sitios de SharePoint

►Repositorios SQL Server admiten cifrado: SQL Server 2005 incluyó cifrado lógico de los datos

Mediante DPAPI y uso de clave maestra de servicio SQL Server 2008 incluyó cifrado físico de la base de

datos Mediante Database Encryption Key Se admiten proveedores de cifrado externos (Hardware Security Module)

Información de interés► Punto compartido (http://www.puntocompartido.com/blogshare)► Informática 64 (http://www.informatica64.com)► SharePoint User Group Spain , SUGES (http://www.suges.es)► Microsoft SharePoint 2010: Seguridad (http://www.informatica64.com/libros.aspx)

► Hand on Lab Fortifica SharePoint Server 2010 (http://www.informatica64.com/Detalle.aspx?id=083010193)

Suscripción gratuita en http://www.informatica64.com/technews.aspx

TechNews de Informática 64

Informática 64

http://www.informatica64.com

i64@informatica64.com

+34 91 146 20 00

Fernando Gómez Muñoz

ralonso@informatica64.com

Contactos