2. Contenidos
►Unidad 1. Malware. Aspectos Generales
►Unidad II. Vulnerabilidades en Sistemas Operativos
basados en Windows
►Unidad III. Gestión de la Seguridad Corporativa.
Gestión Antimalware
fran.icade@gmail.com
www.enamoraconsulting.es
3. Malware. aspectos generales
►Introducción al malware
►El malware en arquitecturas Windows. Introducción
►Virus
►Gusanos
►Troyanos
►Rootkits
►Técnicas Morph
fran.icade@gmail.comwww.enamoraconsulting.es
4. Introducción
►En el progreso constante de la informática, la
seguridad se ha convertido en una necesidad
innegable
►Internet provoca que nuestros sistemas sean
accesibles por otros usuarios, y no siempre con
buenos propósitos
►Se requiere seguridad completa…Servidores y
Clientes
►Las amenazas no se resumen al malware, sino que
también tiene una gran importancia los exploits
►Soluciones antimalware no son suficientes
fran.icade@gmail.com
www.enamoraconsulting.es
5. Malware
►Lejanos quedan los malware como Barrotes,
Viernes 13 y otros clásicos
►La evolución también ha llegado a este tipo de
amenazas
►Para defendernos de las amenazas necesitamos
conocer
Qué es realmente
Cómo afectan
Qué tipos de malware nos encontramos
fran.icade@gmail.comwww.enamoraconsulting.es
6. Virus
►Amenaza más antigua
►El primer virus conocido, “Peace Virus”, fue creado en
1987 para equipos MAC
►Programas que modifican a otras aplicaciones,
escribiendo o alterando el código, con objeto de realizar
alguna acción significativa
►Inicialmente aparecieron como un mero entretenimiento
para los programadores
fran.icade@gmail.com
www.enamoraconsulting.es
7. Fases de Implantación de Virus
►Fase de Ocultación. El virus se oculta utilizando
diferentes metodologías: polimorfismo, unión archivos,
inserción en documentos, etc.
►Fase de Contagio. El virus comienza su proceso de
replicación y propagación a través del entorno. Utilizan
técnicas como ejecución de .exe, arranque de máquina,…
►Fase de Ataque. Cuando el virus ejerce sus efectos
maliciosos sobre la máquina infectada. Es la fase crítica
para la eliminación del virus, haciendo caer a los
antivirus es una falsa apariencia de normalidad
fran.icade@gmail.comwww.enamoraconsulting.es
8. Tipología de Virus (I)
►Virus de boot. Se copian en los sectores de arranque de
discos y disquetes. En el arranque de la máquina, se
copian automáticamente en la memoria (Ej.: Barrotes)
►Virus de fichero. Residen en archivos a la espera de que
se den las condiciones adecuadas para la fase de
ataque o acción directa (Ej.: Jeefo)
►Virus de comando. Suelen infectar los archivos
command.com o cmd.exe
fran.icade@gmail.comwww.enamoraconsulting.es
9. Tipología de Virus (II)
►Virus Polimórficos. Presentan la capacidad de mutar y
cambiar su forma. Se comprimen junto con el fichero
infectado y mezclando sus características. (Ej.: Dark
Avenger)
►Virus Macro. Directamente relacionados con la
ejecución de las macros de productos ofimáticos de
Microsoft (Ej.: Buenos Días)
fran.icade@gmail.com
www.enamoraconsulting.es
10. Troyanos
►Emulan la épica aventura de “La Iliada” de Homero
►Este tipo de programas crean una puerta falsa en
los sistemas para poder ejecutar código de forma
remota
►El usuario del sistema no tiene que dar
consentimiento
►Trabajan bajo una arquitectura Cliente-Servidor
►Llegan a la victima de forma enmascarada o
mezclada con otro programa que pueda ser
suculento o interesante
fran.icade@gmail.comwww.enamoraconsulting.es
14. Troyanos Bancarios
►Evolución de los troyanos de comportamiento estándar
►Como nuevas funcionalidades tienen:
Capturar la pantalla del usuario bajo determinadas
circunstancias
Alterado el comportamiento habitual, la victima conecta con el
atacante (troyano reverso)
►La información se envía al atacante de forma remota a
través de conexiones típicas:
Conexiones SMTP
Conexiones FTP
Conexiones HTTP a una dirección IP para subir datos capturados
Funcionalidad de troyano reverso
fran.icade@gmail.comwww.enamoraconsulting.es
15. Tipos de Troyanos Bancarios
►Los que inyectan código a sesiones HTTPs. Así
cambian el comportamiento de la web, pudiendo
robar claves y certificados de acceso al banco
►Los que realizan capturas de pantalla. Limitan las
capturas a porcentajes de pantalla donde se
encuentra la última pulsación del cliente con el
ratón. Únicamente sobre URLs específicas
►Los que realizan capturas de video. Graban la
totalidad de una sesión sobre URLs específicas
fran.icade@gmail.com
www.enamoraconsulting.es
16. Spyware (I)
►Programas diseñados para recopilar información de
los hábitos de visitas a páginas Web de los usuarios
►Se instala en los sistemas de forma oculta en
software que a simple vista puede parecer
inofensivo
Programas shareware
Programas freeware
Cookies de sesión de páginas web
►Se instala sin el permiso del usuario
fran.icade@gmail.com
www.enamoraconsulting.es
17. Spyware (II)
►Entre las acciones más conocidas que llevan a cabo
los programas spyware están:
Identificación de las visitas a páginas Web
Apertura de ventanas anunciando productos
Registro de pulsaciones de teclado para robar contraseñas y
números de tarjetas bancarias
►La existencia de este tipo de malware puede
también llegar a colapsar el procesador, ya que
abren múltiples procesos
fran.icade@gmail.comwww.enamoraconsulting.es
18. Rootkit
►Tiene sus orígenes en entornos UNIX
►Su objetivo es ocultar información para que ni el
usuario ni determinadas aplicaciones puedan verla
(incluido antivirus)
►Son conjunto de herramientas modificadas que
permiten al intruso hacerse con el control del
equipo
►Crean una cuenta de tipo root en el sistema y la
ocultan al resto de usuarios y aplicaciones
fran.icade@gmail.com
www.enamoraconsulting.es
19. Tipos de Rootkit
►Rootkit de Aplicación
Remplazan archivos de tipo ejecutable con versiones
modificadas que contengan el malware
Agregan código a aplicaciones existentes para modificar su
comportamiento
Rootkit más frecuente y fácilmente detectable
►Rootkit de Kernel
Bastante más peligrosos
Se integran en el núcleo del sistema operativo añadiendo o
modificando código al mismo (módulo o librería)
Complicada su detección
Necesario herramientas especiales
fran.icade@gmail.com
www.enamoraconsulting.es
20. ¿Qué pueden hacer?
►Ocultar archivos y carpetas
►Ocultar procesos y servicios
►Ocultar puertos TCP/UDP
►Ocultar claves de registro
►Uso de técnicas de redirector para la redirección de
conexiones
►Modificar los espacios de disco
►Modificar los controladores
fran.icade@gmail.comwww.enamoraconsulting.es
21. Botnets - Zombies
►Zombie es un ordenador infectado que puede ser
utilizado por otra persona para realizar actividades
hostiles
►El malware que infecta a la máquina se conoce
como bot
►Por tanto, botnets son conjuntos de equipos
zombies
►Totalmente transparente para el usuario del equipo
►Pueden utilizarse para operaciones útiles
fran.icade@gmail.com
www.enamoraconsulting.es
22. Infección y Uso
►Los métodos de infección son variados
►En general se realiza a través de
Un gusano que viaja por la red
Un envío masivo de correo electrónico
Aprovechando una vulnerabilidad de los navegadores
fran.icade@gmail.com
www.enamoraconsulting.es
24. Agenda
► Introducción
► Tecnología U3
► Ataques
Copiando memorias USB
PayLoads
Volcado de información
Sesiones remotas
Bomba USB
► Defensa
Deshabilitar Autorun y dispositivos USB
Herramientas de control
fran.icade@gmail.com
www.enamoraconsulting.es
25. Introducción
► Definido en 1995 por un grupo de empresas
Apple Computer, Hewlett-Packard, NEC, Microsoft,
Intel y Agere System
► Diferentes versiones:
USB 1.1: Septiembre de 1998 hasta 12Mbit/s
USB 2.0: Abril del 2000, hasta 480Mbit/s
USB 3.0: Septiembre 2007, hasta 4.8 Gbits/s
► En 2008 se estima que hay 2 mil millones de
dispositivos USB en el mundo
fran.icade@gmail.com
www.enamoraconsulting.es
26. Tecnología U3
►U3 permite utilizar la memoria USB no solo como
un dispositivo de almacenamiento de información
►Permite la ejecución de programas pre instalados
en el dispositivo directamente desde la memoria
USB
►Tecnología propietaria de Sandisk
►Características:
Plataforma Windows (2000 SP4, XP o posterior)
LaunchPad similar al Inicio de Windows
No requiere permisos de administrador
Protección antivirus
Protección mediante password
fran.icade@gmail.com
www.enamoraconsulting.es
28. Tecnología U3
►Dos particiones
Unidad iso9660 para volcar datos
Unidad FAT oculta con las aplicaciones
LaunchU3.exe
LaunchPad.zip
Autorun.inf
fran.icade@gmail.com
www.enamoraconsulting.es
29. Copiando Memoria USB
►USB Dumper
Se aprovecha del Autorun
Vigila cuando alguien conecta un dispositivo
Recupera la letra asignada al dispositivo
Se copia todos los ficheros
Código fuente publicado, personalización
Copiar solo determinados ficheros
Infectar ejecutables
Distribuir virus, troyanos, etc..
fran.icade@gmail.com
www.enamoraconsulting.es
30. PayLoads
►Cambiando el Rol, ahora ataco con el USB
►Multitud de técnicas, todas ellas aprovechando el
Autorun
Max Damage Technique (solo para U3)
Amish Technique (Cualquier USB e Ingenieria Social)
iPod technique (solo para IPod)
Gandalf's technique (Combinación 1 y 2)
Kapowdude technique (Combinación 1 y 2)
Silivrenion's Technique (Combinación 1 y 2)
fran.icade@gmail.com
www.enamoraconsulting.es
31. PayLoads: Gandalf's technique
►Autorun lanza un script vbs
►Se crea un objeto WScript.Shell
►Se lanzan un fichero bat con los comandos a
ejecutar
Se copia un fichero zip con los programas a lanzar
Se descomprime
Se ejecutan todas las operaciones
Se comprimen todas las salidas y se copian al usb
Se borran los ficheros temporales y finaliza
fran.icade@gmail.com
www.enamoraconsulting.es
32. PayLoads: Gandalf's technique
► Programas incluidos
Pwdump: Windows Password Dumping
Pspv: Protected Storage PassView
ProductKey: Visualizar claves de activación de productos
Mspass :Instant Messenger Password Recovery Tool
MsnHistory: Histórico de conversaciones del Messenger
Mailpv: Mail PassView: Password recovery for Outlook, Outlook
Express,
Iepv: Internet Explorer Password Viewer
Iehv: Internet Explorer History Viewer
FirePassword:Decrypt Firefox password manager
Nircmd: Herramienta de línea de comandos sin visualizar interfaz
de usuario
Curl: Utilidad de línea de comandos para transferir ficheros
fran.icade@gmail.com
www.enamoraconsulting.es
33. PayLoad: Silivrenion's Technique
► Basado en la arquitectura de dispositivos U3
► Autorun lanza un fichero EXE
► Vuelca toda la información al USB, incluyendo fichero de claves listo
para crackear
► Programas incluidos
Iepv: Internet Explorer Password Viewer
Mspass: Instant Messenger Password Recovery Tool
Netpass: Network Password Recovery
ProductKey: Visualizar claves de activación de productos
Pspv: Protected Storage PassView
PwDump: Windows Password Dumping
Pwservice: Extrae la información de los hash almacenados
temporalmente en la registry remota
Wkv: Wireless Key Viewer
fran.icade@gmail.com
www.enamoraconsulting.es
34. PayLoad: Gonzor SwitchBlade
►Permite personalizar de
manera sencilla la
información que se quiere
extraer
►Trabaja con dispositivos U3
pero es posible instalarlo en
dispositivos “normales”
►Incorpora Universal
Customizer para el trabajo
con U3
►Incorpora HakSaw y VNC
fran.icade@gmail.com
www.enamoraconsulting.es
35. PayLoad: EnAble-Abel
►Modificación para permitir las instalación
de Abel
Genera un usuario y lo mete en el grupo
administradores
Preparado para integrar en
Silivrenion's Technique
Se ve la consola de línea de comandos
El Firewall impide la conexión
Tuning
fran.icade@gmail.comwww.enamoraconsulting.es
36. Bomba USB
►Aprovecha el uso del Fichero Desktop.ini
►Fichero leído nada mas que se introduce el pendrive,
con el objetivo de buscar fondos de carpeta, miniaturas
etc..
►¿Y si solicitamos información que esta en una carpeta
compartida, en un equipo donde tenemos a Cain
esnifando?
►Herramientas NamedPipe y Cain
fran.icade@gmail.comwww.enamoraconsulting.es
39. Vulnerabilidades en sistemas operativos
►Introducción al ciclo de desarrollo
►Tipos de Vulnerabilidades
►Exploits
►Automatización de ataques. Frameworks dedicados
fran.icade@gmail.com
www.enamoraconsulting.es
40. Automatización de ataques. Frameworks dedicados:
Metasploit Framework
Exploit: Código escrito con el fin de aprovechar un
error de programación para obtener diversos
privilegios.
Payload: Parte del código de un exploit que tiene
como objetivo ejecutarse en la máquina víctima para
realizar la acción maliciosa
fran.icade@gmail.comwww.enamoraconsulting.es
41. Intro a Metasploit Framework
Módulos del framework:
Auxiliary: herramientas externas como scanners, sniffers,
detectores de versiones, servicios, etc que podemos utilizar para
el proceso de explotación.
Encoders: para que los exploits sean menos detectables por los
antivirus
Exploits: Programa que se aprobecha de una vulnerabilidad
conocida en código para conseguir, o bien tomar el control remoto
de la máquina, o bien tirar la máquina abajo (DoS) o bien obtener
información privilegiada de esa máquina o servicio
Payloads: Parte del exploit compuesto por el conjunto de
instrucciones que permiten tomar el control remoto de la máquina
cargándose en memoria.
Post: scrips que se utilizan por determinados payloads (ejemplo:
Meterpreter) en la fase de postexplotación
Nops: Operaciones de relleno para que el código sea menos
previsible por los antivirus
fran.icade@gmail.com
www.enamoraconsulting.es
42. Intro a Metasploit Framework
El test de intrusión (ser éticos!)
Identificar vulnerabilidades críticas o high risk las cuales son el resultado de la
utilización de vulnerabilidades de menor riesgo o lower-risk.
Identificar vulnerabilidades que pueden resultar difíciles o prácticamente
imposibles de detectar con escáneres de vulnerabilidades, los cuales automatizan
el proceso.
Testear los sistemas de protección de una red para verificar su comportamiento
ante los ataques y como responden a éstos.
Evaluar la magnitud de los ataques sobre los activos de la organización y el
impacto de éstos sobre las operaciones de la empresa.
Determinar la viabilidad de un conjunto de vectores de ataque sobre la
organización.
fran.icade@gmail.com
www.enamoraconsulting.es
43. Gestión seguridad corporativa.
Gestión antimalware
►Introducción a la gestión antimalware en servidores y clientes
►Gestión de soluciones de seguridad
Firewall
Antivirus
AntiSpyware
►Monitorización de Estado de Salud
fran.icade@gmail.comwww.enamoraconsulting.es
48. Nueva consola de seguridad avanzada
Por nombre de aplicación
Todos ó múltiples puertos
Todas la direcciones dentro de
una subnet.
Todas las IP’s en un rango.
Todos los adaptadores wireless
Usuario de AD ó cuenta de
maquina.
ICMP ó ICMP v6
Servicios
fran.icade@gmail.com
www.enamoraconsulting.es
49. Reglas del Firewall
Cuentas y grupos del Active Directory
Direcciones Ip de Origen y Destino
Tipos de Interfaces.
Puertos TCP y UDP de Origen y Destino
Servicios
fran.icade@gmail.com
www.enamoraconsulting.es
50. Windows Defender: Anti-Malware Integrado
►Detección Integrada, limpieza y bloqueo en tiempo real
del malware:
Gusanos, virus, rootkits y spyware
Para usuario Final- La gestion para empresas será un producto
separado
►Además de UAC, que por supuesto nos prevendrá de
muchos tipos de malware
►Integrado con Microsoft Malicious Software Removal
Tool (MSRT) eliminara viruses, robots, y troyanos
durante su actualización o cada mes
►Actualizable vía Microsoft Update
fran.icade@gmail.com
www.enamoraconsulting.es
52. Técnicas comunes empleadas por las soluciones
antivirus
Detección por cadena o firma: tras analizar el código del malware, se
selecciona una porción del mismo o cadena representativa que lo
permita diferenciar de cualquier otro programa. Si el antivirus detecta
esa cadena en algún archivo, determinará que está infectado por ese
malware.
Es la técnica más extendida entre los antivirus
Permite identificar el malware de forma concreta
No detecta nuevos virus ni modificaciones
Filosofía reactiva, requiere actualización continua
20 E0 06 84 20 F4 06 D4 20 08 07 4B 34 00 AD 0C
21 1C 07 F7 21 1D 07 4D 22 30 07 CB 22 44 07 1A
23 45 07 74 23 46 07 B6 23 47 07 32 24 48 07 CE
24 49 07 31 25 4A 07 98 25 58 07 F0 25 59 07 81
fran.icade@gmail.com
www.enamoraconsulting.es
53. Técnicas comunes empleadas por las soluciones
antivirus
Detección por localización y nombre de archivo
fran.icade@gmail.com
54. Técnicas comunes empleadas por las soluciones
antivirus
Detección por heurística: análisis de código para
identificar conjunto de instrucciones y estrategias
genéricas utilizadas por el malware.
No necesita de actualizaciones tan constantes
Capacidad para detectar malware nuevo
Más propenso a falsos positivos
Penalización en el rendimiento en los análisis
No detecta malware con características nuevas
fran.icade@gmail.com
56. Técnicas comunes empleadas por las soluciones
antivirus
Detección por emulación: las aplicaciones se ejecutan en un
entorno informático simulado (sandbox), para evaluar el grado
de peligrosidad.
No necesita de actualizaciones tan constantes
Capacidad para detectar malware nuevo
Más propenso a falsos positivos
Especial penalización en el rendimiento en los análisis (mayor
que en el caso del análisis heurístico de código).
No detecta malware con características nuevas
fran.icade@gmail.com
57. Técnicas comunes empleadas por las soluciones
antivirus
Detección por emulación
fran.icade@gmail.comwww.enamoraconsulting.es
58. Técnicas comunes empleadas por las soluciones
antivirus
Detección por monitorización de comportamiento: en vez de
analizar el código, comprueba las acciones que intentan llevar a
cabo las aplicaciones, e identifican las que puedan ser
potencialmente peligrosas.
No necesita de actualizaciones tan constantes
Capacidad para detectar malware nuevo
Más propenso a falsos positivos
Penalización en el rendimiento del sistema
No detecta malware con características nuevas
fran.icade@gmail.com
www.enamoraconsulting.es
59. Técnicas comunes empleadas por las soluciones
antivirus
Detección por monitorización de comportamiento
fran.icade@gmail.com
www.enamoraconsulting.es
60. Técnicas comunes empleadas por las soluciones
antivirus
Otros enfoques
Chequeo integridad
Comprobar la integridad de los archivos contra una
base de datos (checksums, hash, …)
Debe de partir de un archivo limpio
Fáciles de burlar (spoofing)
Control de acceso
Sólo se pueden ejecutar las aplicaciones permitidas
por el administrador, con determinados privilegios
y según perfil.
Difíciles de administrar, sobre todo en ambientes
heterogéneos, y poco práctico para usuarios
particulares.
fran.icade@gmail.com
www.enamoraconsulting.es
61. Limitaciones de las soluciones antivirus
Facilidad de burlar los métodos de detección
Esquema reactivo, solución a posteriori
Ventana vulnerable, no protegen a tiempo
Creación del malware
Distribución
Infección de las primeras víctimas
Reporte a los laboratorios AV
Actualización del AV del usuario
Publicación actualización
Desarrollo firma y pruebas
Análisis del malware
www.enamoraconsulting.es
62. Falsa sensación de seguridad AV (perimetrales, locales)
Protocolos que no pueden ser analizados (https, …)
Limitaciones de análisis en el perímetro
Formatos de empaquetado y compresión
Evolución y diversificación del malware
Limitaciones de las soluciones antivirus
fran.icade@gmail.com
www.enamoraconsulting.es
63. Marketing AV en general (protección 100%,
detecta todos los virus conocidos y desconocidos,
número 1, tecnología “supermegapotente”,…)
Número de malware que dicen detectar (guerra
de números, no es un dato cualitativo y no
corresponde con la realidad)
“Consultores” (¿consultores o distribuidores?)
Premios y certificaciones (adulterados, requisitos
mínimos)
Comparativas (evaluación crítica, lectura de
resultados)
Elección de las soluciones antivirus
Elementos que distorsionan (a ignorar)
fran.icade@gmail.com
www.enamoraconsulting.es
64. Recursos que consume, rendimiento y estabilidad
Facilidad de uso y posibilidades de configuración
Malware que cubre (spyware, riskware, dialers,…)
Funciones proactivas
Actualizaciones y tiempos de respuesta
Soporte
Puesto destacado en comparativas (no de los últimos)
Casuística de nuestros sistemas (probar y evaluar)
Gestión centralizada, funciones corporativas
Elección de las soluciones antivirus
Elementos a tener en cuenta
fran.icade@gmail.comwww.enamoraconsulting.es
65. Elección de las soluciones antivirus
fran.icade@gmail.comwww.enamoraconsulting.es
66. Abrir archivos legítimos (virus)
Abrir archivos no solicitados, adjuntos de correo, P2P,
descargas (gusanos, troyanos)
Abrir archivos enviados por terceros
intencionadamente (Ingeniería social) (troyanos,
backdoors)
Configuración débil de nuestro sistema operativo
(gusanos, virus, backdoors,…)
Configuración débil de aplicaciones Internet
(navegador, cliente de correo) (spyware, gusanos)
Vulnerabilidades del sistema operativo y aplicaciones
Internet (gusanos, spyware, backdoors)
Defensa contra el software malintencionado
Origen de infecciones
fran.icade@gmail.com
www.enamoraconsulting.es
67. Abrir archivos legítimos
Abrir archivos no solicitados
Ingeniería social
Configuración débil del sistema operativo
Configuración débil de aplicaciones Internet
Vulnerabilidades del S.O. y aplicaciones
Defensa contra el software malintencionado
Agente fundamental en la prevención real
fran.icade@gmail.com
www.enamoraconsulting.es
68. Educar / formar al usuario. Cultura de seguridad.
Formatos potencialmente peligrosos
No abrir archivos no solicitados
No utilizar fuentes no confiables
Navegación segura
Política de passwords
Copias de seguridad
Defensa contra el software malintencionado
Factor humano
fran.icade@gmail.com
www.enamoraconsulting.es
69. Desactivar todos los servicios no necesarios
Aplicar actualizaciones automáticas (SUS, SMS)
Configuración segura navegador y correo
Políticas de uso de portátiles, PDAs, memorias USB,
acceso externo
Segmentación lógica de redes
Políticas de privilegios según usuario y aplicaciones
Políticas de seguridad recursos compartidos
Políticas de backup
Defensa contra el software malintencionado
Factor S.O. y aplicaciones
fran.icade@gmail.com
www.enamoraconsulting.es
70. Uso de soluciones antivirus distintas y
complementarias por capas (perímetro, servidor de
archivos, host).
Firewall perimetrales y basados en hosts (XP SP2)
Política de filtrado por contenidos
Política de acceso a la red (interna, externa)
Gestión centralizada seguridad
Auditorías y planes de contingencia/continuidad
Defensa contra el software malintencionado
Soluciones de seguridad y antimalware
fran.icade@gmail.com
www.enamoraconsulting.es
71. Una solución contra spyware y protección contra
virus construida sobre tecnología de protección utilizada
por millones alrededor del mundo. Respuesta efectiva
contra amenazas. Complementa otros productos de
seguridad Microsoft
Una consola para la administración de
seguridad simplificada. Define políticas para administrar
las características del agente de protección del cliente.
Implementa firmas y software más rápido y se integra con
su infraestructura actual.
Un tablero para la visibilidad de amenazas y
vulnerabilidades. Vista de reportes internos.
Manténgase informado con escaneo de evaluación del
estado y alertas de seguridad
¿Qué hace FCS?
fran.icade@gmail.comwww.enamoraconsulting.es
72. Network Access Protection
No Cumple
la Política
1
Red
Restringida
El cliente solicita acceso a la red y presenta su estado de
salud actual
1
4
Si no cumple la política el cliente solo tiene acceso a una VLAN
restringida donde hay recursos para solucionar sus problemas,
descargar actualizaciones, firmas(Repetir 1-4)
2 DHCP, VPN o Switch/Router envía el estado de salud al Servidor
de Políticas de Red (RADIUS)
5 Si cumple la política al cliente se le permite el acceso total a la red
corporativa
MSFT NPS
3
Servidor de
Políticas e.g. Patch,
AV
Cumple la
Política
3 El Servidor de Políticas (NPS) valida contra la política de salud
definida por IT
2
Cliente
Windows
DHCP, VPN
Switch/Router
Fix Up
Servers
e.g. Patch
Red Corporativa5
4
fran.icade@gmail.comwww.enamoraconsulting.es
Slide Title: What FCS Does Keywords: Forefront Client Security Key Message: Forefront Client Security delivers unified malware protection for business desktop computers, mobile computers, and server operating systems that is easy to manage and control. Slide Builds: 3 Slide Script: Today, infection by malicious software creates a costly problem for businesses. Gartner has estimated that 20 to 40% of help desk calls are related to spyware, and in a recent Forrester survey asking about IT security risks that technology decision-makers are concerned about, 73% of firms rated viruses and worms as their top concern. Built on the same highly successful Microsoft protection technology already used by millions of people worldwide, Forefront Client Security helps guard against emerging threats, such as spyware and rootkits, as well as traditional threats such as viruses, worms, and Trojan horses. By delivering simplified administration through central management, and providing critical visibility into threats and vulnerabilities, Forefront Client Security helps protect the business with greater confidence and efficiency. Forefront Client Security integrates with the existing infrastructure software, such as Active Directory, and complements other Microsoft security technologies for better protection and greater control. There are two parts to the Microsoft Forefront Client Security solution. The first is the Security Agent—installed on business desktop computers, mobile computers, and servers—that provides protection from and scheduled scanning for threats, such as spyware, viruses, and rootkits. The second is the central management server, which enables administrators to easily manage and update preconfigured or customized malware protection agents, and generate reports and alerts on the security status of their environment. [BUILD1] Through a single security agent for business desktop computers, mobile computers, and server operating systems, Forefront Client Security delivers unified protection from viruses, spyware, and other malware threats. This agent scans viruses, spyware, and other malware in real time, providing effective protection against blended threats while minimizing user disruption. Forefront Client Security is built on protection technology used by millions of people worldwide in products such as Windows Live OneCare, Windows Defender, and Microsoft Forefront Security for Exchange Server. The solution is also backed by the Microsoft global security research & response system, a dedicated, experienced team of malware researchers that combines extensive data collected with advanced automated analysis techniques to help discover and respond to new threats faster. Forefront Client Security delivers defense-in-depth when combined with other security solutions, such as Microsoft Antigen, Microsoft Internet Security & Acceleration (ISA) Server, and Microsoft Exchange Hosted Services.
Slide Title: What FCS Does Keywords: Forefront Client Security Key Message: Forefront Client Security delivers unified malware protection for business desktop computers, mobile computers, and server operating systems that is easy to manage and control. Slide Builds: 3 Slide Script: Today, infection by malicious software creates a costly problem for businesses. Gartner has estimated that 20 to 40% of help desk calls are related to spyware, and in a recent Forrester survey asking about IT security risks that technology decision-makers are concerned about, 73% of firms rated viruses and worms as their top concern. Built on the same highly successful Microsoft protection technology already used by millions of people worldwide, Forefront Client Security helps guard against emerging threats, such as spyware and rootkits, as well as traditional threats such as viruses, worms, and Trojan horses. By delivering simplified administration through central management, and providing critical visibility into threats and vulnerabilities, Forefront Client Security helps protect the business with greater confidence and efficiency. Forefront Client Security integrates with the existing infrastructure software, such as Active Directory, and complements other Microsoft security technologies for better protection and greater control. There are two parts to the Microsoft Forefront Client Security solution. The first is the Security Agent—installed on business desktop computers, mobile computers, and servers—that provides protection from and scheduled scanning for threats, such as spyware, viruses, and rootkits. The second is the central management server, which enables administrators to easily manage and update preconfigured or customized malware protection agents, and generate reports and alerts on the security status of their environment. [BUILD1] Through a single security agent for business desktop computers, mobile computers, and server operating systems, Forefront Client Security delivers unified protection from viruses, spyware, and other malware threats. This agent scans viruses, spyware, and other malware in real time, providing effective protection against blended threats while minimizing user disruption. Forefront Client Security is built on protection technology used by millions of people worldwide in products such as Windows Live OneCare, Windows Defender, and Microsoft Forefront Security for Exchange Server. The solution is also backed by the Microsoft global security research & response system, a dedicated, experienced team of malware researchers that combines extensive data collected with advanced automated analysis techniques to help discover and respond to new threats faster. Forefront Client Security delivers defense-in-depth when combined with other security solutions, such as Microsoft Antigen, Microsoft Internet Security & Acceleration (ISA) Server, and Microsoft Exchange Hosted Services.