sesión 2: defensa profunda contra código dañino estrategias de antivirus eduardo rivadeneira...

Sesión 2: Defensa profunda contra

código dañinoEstrategias de Antivirus

Eduardo Rivadeneira Romero

IT Pro Evangelist

Microsoft Mexico

Prerrequisitos de la sesión

Experiencia práctica con Microsoft Windows Server y Active Directory

Comprensión básica de los aspectos fundamentales de la seguridad de la red

Comprensión básica de los conceptos relacionados con el código dañino

Nivel 200

Descripción general de la sesión

Comprender las características del software dañino

Defensa profunda contra el código dañino

Defensa contra el código dañino para PCs cliente

Defensa contra el código dañino para servidores

Defensa basada en la red contra código dañino

Control y recuperación de un brote de código dañino

Código dañino: Identificar los desafíos para una organización

Código dañino: Una recopilación de software desarrollado para realizar intencionalmente tareas dañinas en un sistema de cómputoCódigo dañino: Una recopilación de software desarrollado para realizar intencionalmente tareas dañinas en un sistema de cómputo

La retroalimentación de los profesionales de informática y de seguridad incluye:La retroalimentación de los profesionales de informática y de seguridad incluye:

“Los usuarios ejecutaron el archivo adjunto desde su correo electrónico a pesar de que les indicamos en repetidas ocasiones que no deberían hacerlo.”

“El software antiviurs debió haber detectado esto, pero la firma de este virus no se había instalado aún.”

“No sabíamos que nuestros servidores tenían que actualizarse.”

“Esto nunca debió haber pasado a través de nuestro servidor de seguridad; no sabíamos que sus puertos podían ser atacados.”

“Los usuarios ejecutaron el archivo adjunto desde su correo electrónico a pesar de que les indicamos en repetidas ocasiones que no deberían hacerlo.”

“El software antiviurs debió haber detectado esto, pero la firma de este virus no se había instalado aún.”

“No sabíamos que nuestros servidores tenían que actualizarse.”

“Esto nunca debió haber pasado a través de nuestro servidor de seguridad; no sabíamos que sus puertos podían ser atacados.”

Comprender las técnicas de ataque del código dañino

Las técnicas comunes de ataque del código dañino incluyen:Las técnicas comunes de ataque del código dañino incluyen:

Ingeniería social

Creación de una puerta trasera

Robo de direcciones de correo electrónico

Motores de correo electrónico incrustados

Explotar las vulnerabilidades del producto

Explotar las nuevas tecnologías de Internet

Ingeniería social

Creación de una puerta trasera

Robo de direcciones de correo electrónico

Motores de correo electrónico incrustados

Explotar las vulnerabilidades del producto

Explotar las nuevas tecnologías de Internet

Comprender la línea de tiempo de la vulnerabilidad

Producto Producto enviadoenviado

VulnerabilidadVulnerabilidaddescubiertadescubierta

Actualización Actualización disponibledisponible

Actualización Actualización implementadaimplementadapor el clientepor el cliente

VulnerabilidadVulnerabilidaddivulgadadivulgada

La mayoría de los ataques ocurren aquí

Comprender la línea de tiempo de la explosión

ProductoProductoenviadoenviado

VulnerabilidadVulnerabilidaddescubiertadescubierta

ActualizacónActualizacóndisponibledisponible

ActualizacónActualizacónAplicada porAplicada por

el clienteel cliente

VulnerabilidadVulnerabilidaddivulgadadivulgada

Explotar

Se reduce el número de días entre la

actualización y la explotación

Ataque de codigo dañino

Días entre actualización y explotación

Nimda 331

SQL Slammer 180

Welchia/Nachi 151

Blaster 25

Sasser 14

Productoenviado

Vulnerabilidaddescubierta

Vulnerabilidaddivulgada

Actualizacóndisponible

ActualizacónAplicada porel cliente

Ataque de codigo dañino

Días entre actualización y explotación

Nimda

SQL Slammer

Welchia/Nachi

Blaster

Sasser

Se reduce el número de días entre la

actualización y la explotación

ExplotarExplotar

Identificar los métodos comunes de defensa contra el código dañino

Instalar la actualización de seguridad más reciente Incrementar la seguridad de la zona en la Máquina local en Internet ExplorerEliminar cualquier infección relacionada con IIS

Download.Ject

Instalar la actualización de seguridad más reciente Bloquear el puerto UDP 1434 SQL Slammer

Instalar la actualización de seguridad más recienteBloquear los puertos TCP 135, 139, 445 y 593 y los puertos UDP 135, 137 y 138, y además bloquear los puertos UDP 69 (TFTP) y TCP 4444 para shell de comando remoto Actualizar las firmas antivirus

Blaster

Bloquear el puerto 1034 Actualizar las firmas antivirus Implementar aplicaciones de seguridad

Mydoom

Bloquear los puertos 445, 5554 y 9996Instalar la actualización de seguridad más recienteSasser

Método de defensaAtaque contra código dañino

Defensa contra el código dañino: Mejores prácticas

Manténgase informadoManténgase informado

Implemente la seguridad de la aplicación Implemente la seguridad de la aplicación

Restrinja los derechos locales de administraciónRestrinja los derechos locales de administración

Implemente la administración de actualizaciones de seguridad y antivirus Implemente la administración de actualizaciones de seguridad y antivirus

Implemente la protección del servidor de seguridad

Implemente la protección del servidor de seguridad

¿Qué es la defensa profunda?

Utilizar un enfoque por nivel:Eleva el riesgo de detección de un atacante Reduce la oportunidad de que tenga éxito el atacante

Políticas de seguridad, procedimientos e instrucciónPolíticas, procedimientos y conocimientoPolíticas, procedimientos y conocimiento

Protecciones, candados, dispositivos de rastreo

Seguridad físicaSeguridad física

Fortalecimiento de la aplicaciónAplicación

Fortalecimiento del sistema operativo, autenticación, administración de actualizaciones, actualizaciones de antivirus, auditoría

Host

Segmentos de red, IPSec, NIDSRed interna

Servidores de seguridad, enrutadores internos, VPNs con procedimientos de cuarentena

Perímetro

Contraseñas sólidas, ACLs, encriptación, EFS, estrategia de respaldo y restauración

Datos

Aplicar Defensa profunda a la defensa contra código dañino

Políticas, procedimientos y conocimientoPolíticas, procedimientos y conocimiento

Seguridad físicaSeguridad física

Perímetro

Red interna

Defensas de la red

Host

Aplicación

Datos

Defensas del cliente

Defensas del cliente

Host

Aplicación

Datos

Implementar Políticas de protección del host, procedimientos y conocimientos

Las políticas y procedimientos recomendadas incluyen:Las políticas y procedimientos recomendadas incluyen:

Políticas de defensa de protección del host:

Políticas de análisis Políticas de actualización de

firmas Política de aplicación permitida

Políticas de defensa de protección del host:

Políticas de análisis Políticas de actualización de

firmas Política de aplicación permitida

Política de defensa de red: Control de cambios Supervisión de la red Detección del ataque Acceso al PC principal Acceso al visitante Política de red

inalámbrica

Política de defensa de red: Control de cambios Supervisión de la red Detección del ataque Acceso al PC principal Acceso al visitante Política de red

inalámbrica Política de actualización de seguridad:

1. Evaluar el entorno a actualizar

2. Identificar nuevas actualizaciones3. Evaluar y planear la implementación

de la actualización4. Implementar las actualizaciones

Política de actualización de seguridad:

1. Evaluar el entorno a actualizar

2. Identificar nuevas actualizaciones3. Evaluar y planear la implementación

de la actualización4. Implementar las actualizaciones

Implementar la seguridad física y la defensa antivirus

Los elementos de un plan de defensa física eficaz incluyen:Los elementos de un plan de defensa física eficaz incluyen:

PCs de servidor PCs de servidor

Puntos de acceso de redPuntos de acceso de red

Seguridad de los permisos Seguridad de los permisos

Seguridad del personalSeguridad del personal

PCs y dispositivos móvilesPCs y dispositivos móviles

PCs de estación de trabajoPCs de estación de trabajo

Proteger los PCs cliente: ¿Cuáles son los desafíos?

Los desafíos relacionados con la protección de los PCs cliente incluyen:Los desafíos relacionados con la protección de los PCs cliente incluyen:

• Implementar políticas de almacén de datos• Implementar seguridad de datos• Cumplimiento regulatorio

• Implementar políticas de almacén de datos• Implementar seguridad de datos• Cumplimiento regulatorio

Desafíos de los datos

• Controlar el uso de las aplicaciones• Asegurar las configuraciones de la aplicación• Mantener las actualizaciones de seguridad de la aplicación

• Controlar el uso de las aplicaciones• Asegurar las configuraciones de la aplicación• Mantener las actualizaciones de seguridad de la aplicación

Desafío de la aplicación

• Mantener las actualizaciones de seguridad• Mantener el software antivirus

• Implementar un servidor de seguridad personal

• Mantener las actualizaciones de seguridad• Mantener el software antivirus

• Implementar un servidor de seguridad personal

Desafíos del host

Implementar una defensa contra código dañino basado en el cliente

Pasos para implementar una defensa basada en el cliente incluyen:Pasos para implementar una defensa basada en el cliente incluyen:

Reducir la superficie de ataqueReducir la superficie de ataque11

Instalar software antivirus Instalar software antivirus 44

Habilitar el servidor de seguridad basado en el host Habilitar el servidor de seguridad basado en el host 33

Probar los análisis de la configuraciónProbar los análisis de la configuración55

Utilizar las políticas con menos privilegiosUtilizar las políticas con menos privilegios66

Aplicar las actualizaciones de seguridadAplicar las actualizaciones de seguridad22

Restringir las aplicaciones no autorizadasRestringir las aplicaciones no autorizadas77

Elegir una solución de administración de actualizaciones para defensa contra código dañino

MBSA y SUSDesea una solución de administración de actualizaciones con un nivel básico de control que actualice Windows 2000 y las versiones más nuevas de Windows

Windows UpdateNo cuenta con servidores Windows

Pequeña empresa

Desea una solución de administración de actualizaciones flexible con un nivel ampliado de control para actualizar y distribuir todo el software

Por lo menos un Windows 2000o servidores más nuevos y un administrador de informática

Todos los escenarios

Escenario

Empresas medianas o grandes

Consumidor

Tipo de cliente Solución

SMS

Windows Update

MBSA y SUS

Comprender los Beneficios de los servicios de actualización de software

Proporciona a los administradores un control básico de la administración de actualizaciones

Los administradores pueden revisar, probar y aprobar las actualizaciones antes de su implementación

Simplifica y automatiza los aspectos clave del proceso de administración de actualizaciones

Se puede utilizar con la Política de grupo; sin embargo, no se requiere la Política de grupo para utilizar SUS

Fácil de implementar Herramienta gratuita de Microsoft

Proporciona a los administradores un control básico de la administración de actualizaciones

Los administradores pueden revisar, probar y aprobar las actualizaciones antes de su implementación

Simplifica y automatiza los aspectos clave del proceso de administración de actualizaciones

Se puede utilizar con la Política de grupo; sin embargo, no se requiere la Política de grupo para utilizar SUS

Fácil de implementar Herramienta gratuita de Microsoft

SUS - Cómo funciona

Servidor SUS

primario

Actualización de Windows

Servidor SUS secundario

Internet

PCs cliente

PCs cliente

Demo 1: Configure los Servicios de actualización de software para implementar actualizaciones de seguridad

Configure los Servicios de actualización de software para implementar las actualizaciones de seguridad

Internal Network10.10.0.0/16

Internet

London.nwtraders.msftDomain Controller

Exchange Server 2003IIS 6.0 Server

Software Update ServicesDNS Server

Enterprise CA Server10.10.0.2/16

Vancouver.nwtraders.msftISA Server 2004

10.10.0.1/16131.107.0.1/16

Denver.nwtraders.msftWindows XP SP2

Office 2003131.107.0.1/16

Glasgow.nwtraders.msftMIIS Server

ADAM Server10.10.0.3

131.107.0.8


Office 200310.10.0.10/16

Brisbane.northwindtraders.msftDomain Controller

IIS 6.0 Server10.10.0.20

Configurar las aplicaciones para proteger los PCs cliente

Las aplicaciones que pueden ser objetivo del código dañino incluyen:Las aplicaciones que pueden ser objetivo del código dañino incluyen:

Aplicaciones del cliente de correo electrónicoAplicaciones del cliente de correo electrónico

Aplicaciones de escritorioAplicaciones de escritorio

Aplicaciones de mensajes instantáneosAplicaciones de mensajes instantáneos

Exploradores WebExploradores Web

Aplicaciones de igual a igualAplicaciones de igual a igual

Administrar la seguridad del Explorador de Internet

Control administrativo para la función de la zona de seguridad del control

Configuraciones de la Política de grupo

Detección de MIME Elevación de la seguridad Restricción de Windows

Función de las configuraciones de la Zona de seguridad de control

Habilidad para controlar la seguridad en la zona de la máquina local

Zona de la máquina local

Verificaciones de consistencia Reglas más estrictas

Mejoras a la seguridad de MIME

Control de los complementos y funciones de administraciónMejores indicadoresNuevas restricciones de ventanas iniciadas con secuencias de comando

Mejor administración de la seguridad

DescripciónFunción de seguridad

Demo 2: Configurar las aplicaciones basadas en el cliente

Configurar las aplicaciones cliente para protegerse contra código dañino


Internet






10.10.0.1/16131.107.0.1/16


Office 2003131.107.0.1/16



131.107.0.8


Office 200310.10.0.10/16


IIS 6.0 Server10.10.0.20

Bloquear las aplicaciones no autorizadas con las Políticas de restricción de software

Políticas de restricción de software:Políticas de restricción de software:

Se pueden establecer como:

No restringidar

Deshabilitadas

Se pueden establecer como:

No restringidar

Deshabilitadas

Se puede aplicar a las siguientes reglas:

Análisis

Certificado

Ruta

Zona

Se puede aplicar a las siguientes reglas:

Análisis

Certificado

Ruta

Zona

Se pueden utilizar para:

Luchar contra virus

Descargas de Control ActiveX

Ejecutar únicamente las secuencias de comandos firmadas

Asegurar que se instale el software aprobado

Desbloquear un PC

Se pueden utilizar para:

Luchar contra virus

Descargas de Control ActiveX

Ejecutar únicamente las secuencias de comandos firmadas

Asegurar que se instale el software aprobado

Desbloquear un PC

Demo 3: Usar las políticas para restricción de software

Cree y pruebe una política de restricción de software


Internet






10.10.0.1/16131.107.0.1/16


Office 2003131.107.0.1/16



131.107.0.8


Office 200310.10.0.10/16


IIS 6.0 Server10.10.0.20

Nuevas funciones de seguridad del Firewall de Windows

Activado por predeterminaciónActivado por predeterminación

Seguridad en el tiempo de inicio Seguridad en el tiempo de inicio

Configuración global y opciones predeterminadas de restauración

Configuración global y opciones predeterminadas de restauración

Restricción de la subred localRestricción de la subred local

Soporte de línea de comandoSoporte de línea de comando

Activado sin excepcionesActivado sin excepciones

Lista de excepciones de Firewall de WindowsLista de excepciones de Firewall de Windows

Perfiles múltiplesPerfiles múltiples

Soporte RPCSoporte RPC

Soporte a instalación no asistidaSoporte a instalación no asistida

Configurar Firewall de Windows para la defensa antivirus

Proteger los PCs cliente: Mejores prácticas

Identifique las amenazas en los nivles de host, las aplicaciones y los datos de la estrategia de defensa profunda

Identifique las amenazas en los nivles de host, las aplicaciones y los datos de la estrategia de defensa profunda

Implemente políticas de restricción de software para controlar las aplicaciones Implemente políticas de restricción de software para controlar las aplicaciones

Implemente una política efectiva de administración de actualización de seguridad

Implemente una política efectiva de administración de actualización de seguridad

Implemente una política efectiva de administración antivirus Implemente una política efectiva de administración antivirus

Utilice la Política de grupo de Active Directory para administrar los requisitos de la seguridad de la aplicación

Utilice la Política de grupo de Active Directory para administrar los requisitos de la seguridad de la aplicación

Proteger los servidores: ¿Cuáles son los desafíos?

Los desafíos para proteger los servidores incluyen:Los desafíos para proteger los servidores incluyen:

Mantener la confiabilidad y el rendimiento

Mantener las actualizaciones de seguridad

Mantener las actualizaciones del antivirus

Aplicar soluciones especializadas de defensa basadas en el rol del servidor

Mantener la confiabilidad y el rendimiento

Mantener las actualizaciones de seguridad

Mantener las actualizaciones del antivirus

Aplicar soluciones especializadas de defensa basadas en el rol del servidor

¿Qué es la Defensa contra código dañino basada en el servidor?

Pasos básicos para proteger a los servidores contra el código dañino incluyen:Pasos básicos para proteger a los servidores contra el código dañino incluyen:

Reducir la superficie de ataqueReducir la superficie de ataque

Analizar el uso de los análisis de la configuraciónAnalizar el uso de los análisis de la configuración

Habilitar el servidor de seguridad basado en el host Habilitar el servidor de seguridad basado en el host

Aplicar las actualizaciones de seguridadAplicar las actualizaciones de seguridad

Analizar la información del puertoAnalizar la información del puerto

Implementar el software de protección del host basado en el servidor

Las consideraciones al implementar un software antivirus basado en el servidor incluyen:Las consideraciones al implementar un software antivirus basado en el servidor incluyen:

Uso de la CPU durante el análisis

Confiabilidad de la aplicación

Sobrecarga de la administración

Interoperabilidad de la aplicación

Uso de la CPU durante el análisis

Confiabilidad de la aplicación

Sobrecarga de la administración

Interoperabilidad de la aplicación

Proteger las aplicaciones basadas en el servidor

Las aplicaciones que por lo general cuentan con implementaciones de protección especializada del host incluyen:

Las aplicaciones que por lo general cuentan con implementaciones de protección especializada del host incluyen:

Microsoft SharePoint Portal Server 2003Servidores de colaboración

Microsoft SQL Server 2000Servidores de base de datos

Internet Information Services (IIS)Servidores Web

Microsoft Exchange 2003Servidores de mensajes

EjemploAplicación

Demo 4: Utilizar el Filtro de mensajes SMTP de ISA Server 2004

Implementar el filtro de mensajes SMTP


Internet


Exchange Server 2003IIS 6.0 ServerDNS Server



10.10.0.1/16131.107.0.1/16


Office 2003131.107.0.1/16



131.107.0.8


Office 200310.10.0.10/16


IIS 6.0 Server10.10.0.20

Proteger los servidores: Mejores prácticas

Considere cada error de servidor implementado en su organización para implementar soluciones específicas de protección del host

Considere cada error de servidor implementado en su organización para implementar soluciones específicas de protección del host

Organice todas las actualizaciones a través de un entorno de pruebas antes de lanzarlo a producción Organice todas las actualizaciones a través de un entorno de pruebas antes de lanzarlo a producción

Implemente actualizaciones de seguridad y antivirus frecuentes conforme se requieraImplemente actualizaciones de seguridad y antivirus frecuentes conforme se requiera

Implemente una solución de protección del host de autoadministración para reducir los costos de administración

Implemente una solución de protección del host de autoadministración para reducir los costos de administración

Proteger la red: ¿Cuáles son los desafíos?

Los desafíos relacionados con proteger el nivel de red incluyen:Los desafíos relacionados con proteger el nivel de red incluyen:

Equilibrio entre la seguridad y capacidad de uso

Ausencia de detección o supervisión basada en la red para ataques

Equilibrio entre la seguridad y capacidad de uso

Ausencia de detección o supervisión basada en la red para ataques

Implementar sistemas de detección de intrusiones basados en la red

Puntos importantes qué observar:Puntos importantes qué observar:

Los sistemas de detección de intrusiones basados en la red, únicamente son tan buenos como el proceso que se sigue una vez que se detecta una intrusión

ISA Server 2004 proporciona habilidades de detección de intrusiones basadas en la red

Los sistemas de detección de intrusiones basados en la red, únicamente son tan buenos como el proceso que se sigue una vez que se detecta una intrusión

ISA Server 2004 proporciona habilidades de detección de intrusiones basadas en la red

Proporciona una rápida detección y generación de informes de los ataques externos de código dañino

Proporciona una rápida detección y generación de informes de los ataques externos de código dañino

Sistema de detección e intrusiones basado en la red

Sistema de detección e intrusiones basado en la red

Implementar filtro de niveles de la aplicación

La aplicación de filtros de niveles incluyen lo siguiente:La aplicación de filtros de niveles incluyen lo siguiente:

La exploración del Web y del correo electrónico se puede analizar para asegurar que el contenido específico para cada uno no contenga información ilegítima

La exploración del Web y del correo electrónico se puede analizar para asegurar que el contenido específico para cada uno no contenga información ilegítima

Los análisis profundos de contenido, incluyendo la capacidad de detectar, inspeccionar y validar el tráfico, utilizan cualquier puerto y protocolo

Los análisis profundos de contenido, incluyendo la capacidad de detectar, inspeccionar y validar el tráfico, utilizan cualquier puerto y protocolo

Demo 5: Implementar el Filtro con ISA Server 2004

Implementar el filtro con ISA Server 2004


Internet


Exchange Server 2003IIS 6.0 ServerDNS Server



10.10.0.1/16131.107.0.1/16


Office 2003131.107.0.1/16



131.107.0.8


Office 200310.10.0.10/16


IIS 6.0 Server10.10.0.20

Comprender las redes de cuarentena

Las funciones estándar de una red de cuarentena incluyen:Las funciones estándar de una red de cuarentena incluyen:

Por lo general está restringida o bloqueada para tener acceso a los recursos internos Por lo general está restringida o bloqueada para tener acceso a los recursos internos

Proporciona un nivel de conectividad que permite a los PCs del visitante temporal funcionar de manera productiva sin poner en riesgo la seguridad de la red interna

Proporciona un nivel de conectividad que permite a los PCs del visitante temporal funcionar de manera productiva sin poner en riesgo la seguridad de la red interna

Actualmente está disponible únicamente para soluciones de acceso remoto VPNActualmente está disponible únicamente para soluciones de acceso remoto VPN

Proteger la red: Mejores prácticas

Haga que un equipo de respuesta antivirus proactivo supervise los sitios de alerta temprana, tales como los de proveedores antivirus

Haga que un equipo de respuesta antivirus proactivo supervise los sitios de alerta temprana, tales como los de proveedores antivirus

Formule un plan de respuesta a incidentesFormule un plan de respuesta a incidentes

Implemente políticas de supervisión y reportes automatizadosImplemente políticas de supervisión y reportes automatizados

Implemente ISA Server 2004 para proporcionar capacidades de detección de intrusionesImplemente ISA Server 2004 para proporcionar capacidades de detección de intrusiones

Cómo confirmar el brote de un código dañino

El proceso de confirmación de infección incluye:El proceso de confirmación de infección incluye:

Generación de informes de actividades inusuales

Recopilar la información básica

Evaluar la información

Recopilar los detalles

Responder a las actividades inusuales

¿Falsa alarma?

¿Es una broma?

¿Infección conocida?

¿Nueva infección?

Generación de informes de actividades inusuales

Recopilar la información básica

Evaluar la información

Recopilar los detalles

Responder a las actividades inusuales

¿Falsa alarma?

¿Es una broma?

¿Infección conocida?

¿Nueva infección?

Cómo responder a un brote de código dañino

Las tareas del mecanismo para controlar los brotes incluyen:Las tareas del mecanismo para controlar los brotes incluyen:

Desconectar los sistemas que corren riesgo de la red

Aislar las redes que contienen hosts infectados

Desconectar la red de todas las redes externas

Buscar controles de estallidos y técnicas de limpieza

Desconectar los sistemas que corren riesgo de la red

Aislar las redes que contienen hosts infectados

Desconectar la red de todas las redes externas

Buscar controles de estallidos y técnicas de limpieza

Los ejemplos de las metas de recuperación incluyen:Los ejemplos de las metas de recuperación incluyen:

Mínima interrupción a las operaciones de la organización

Tiempo de recuperación más rápido posible

La captura de información para respaldar el proceso

La captura de información para permitir que todas las medidas de seguridad adicionales se desarrollen

Prevención de ataques futuros de este tipo

Mínima interrupción a las operaciones de la organización

Tiempo de recuperación más rápido posible

La captura de información para respaldar el proceso

La captura de información para permitir que todas las medidas de seguridad adicionales se desarrollen

Prevención de ataques futuros de este tipo

Cómo analizar el brote de código dañino

Las siguientes tareas de análisis le ayudan a comprender la naturaleza de los brotes:

Las siguientes tareas de análisis le ayudan a comprender la naturaleza de los brotes:

Verificar los procesos y servicios activos

Verificar las metas de inicio

Verificar las aplicaciones programadas

Analizar el registro local

Revisar los archivos dañados

Revisar los usuarios y grupos

Revisar las carpetas compartidas

Revisar los puertos de red abiertos

Revisar y exportar los registros de eventos del sistema

Ejecutar MSCONFIG

Verificar los procesos y servicios activos

Verificar las metas de inicio

Verificar las aplicaciones programadas

Analizar el registro local

Revisar los archivos dañados

Revisar los usuarios y grupos

Revisar las carpetas compartidas

Revisar los puertos de red abiertos

Revisar y exportar los registros de eventos del sistema

Ejecutar MSCONFIG

Cómo recuperarse de un brote del código dañino

Utilice el siguiente proceso para recuperarse de un brote de virus:

Utilice el siguiente proceso para recuperarse de un brote de virus:

Restaure los datos extraviados o dañadosRestaure los datos extraviados o dañados

Elimine o limpie los archivos infectadosElimine o limpie los archivos infectados

Vuelva a conectar sus sistemas de PC a la redVuelva a conectar sus sistemas de PC a la red

Confirme que su sistema de cómputo no tenga código dañinoConfirme que su sistema de cómputo no tenga código dañino

11

33

44

22

Cómo revisar un Análisis posterior a la recuperación

Los pasos para el análisis posteriores de la recuperación incluyen lo siguiente:Los pasos para el análisis posteriores de la recuperación incluyen lo siguiente:

Reunión de revisión posterior al ataqueReunión de revisión posterior al ataque

Actualizaciones posteriores al ataqueActualizaciones posteriores al ataque

Resumen de la sesión

Comprenda que el código dañino le ayudará a implementar una defensa eficaz contra los ataques este tipo de código Comprenda que el código dañino le ayudará a implementar una defensa eficaz contra los ataques este tipo de código

Utilice un enfoque de defensa profunda para protegerse contra el código dañinoUtilice un enfoque de defensa profunda para protegerse contra el código dañino

Fortalezca los PCs cliente al aplicar actualizaciones de seguridad, instalar y mantener una estrategia de software antivirus y restringir los PCs que utilizan la Política de grupo

Fortalezca los PCs cliente al aplicar actualizaciones de seguridad, instalar y mantener una estrategia de software antivirus y restringir los PCs que utilizan la Política de grupo

Organice todas las actualizaciones a través del servidor de prueba antes de implementarlo en producción, para minimizar la interrupción

Organice todas las actualizaciones a través del servidor de prueba antes de implementarlo en producción, para minimizar la interrupción

ISA Server 2004 se puede utilizar para implementar defensas de red, como filtro a nivel de aplicación, filtro de mensajes y cuarentena de la red

ISA Server 2004 se puede utilizar para implementar defensas de red, como filtro a nivel de aplicación, filtro de mensajes y cuarentena de la red

Un plan eficaz de respuesta de recuperación asegurará que si ocurre un ataque de código dañino, su organización puede recuperarse con rapidez con una interrupción mínima

Un plan eficaz de respuesta de recuperación asegurará que si ocurre un ataque de código dañino, su organización puede recuperarse con rapidez con una interrupción mínima

Pasos a seguir

Encuentre eventos adicionales de capacitación sobre seguridad:

http://www.microsoft.com/latam/technet/video/webcast.asp

Inscríbase para recibir comunicados de seguridad:

http://www.microsoft.com/latam/technet/boletin/default.asp

Solicite el kit de orientación de seguridad:

http://www.microsoft.com/security/guidance/order/default.mspx

Obtenga las herramientas y contenido adicional de seguridad:

http://www.microsoft.com/latam/technet/home.asp

Preguntas y respuestas

sesión 2: defensa profunda contra código dañino estrategias de antivirus eduardo rivadeneira...

Documents