Seguridad y Privacidad
¿Vulnerabilidades? ¿Dónde?
Ing. Social y
Privacidad
Servidor Web y
Aplicaciones
Navegador
Navegación segura
Security Development Lifecycle (SDL)Modo ProtegidoSeguridad mejorada en Controles ActiveXData Execution Prevention (DEP)
Cookies HTTPOnly Políticas de grupoXDomainRequests – Cross Domain RequestsXDM – Cross Domain MessagingFiltro XSS – Cross Site ScriptingProtección contra ClickJacking
Certificados SSL con Extended Validation (EV)Filtro SmartScreen – Bloqueo de Phishing y MalwareDestaque del nombre de dominioBorrado de histórico mejoradoNavegación y Filtrado InPrivate
Navegador
Servidor Web y
Aplicaciones
Ing. Social y
Privacidad
- -
Navegador
Security Development Lifecycle (SDL)Metodología de desarrollo de software que ayuda a reducir el número de vulnerabilidades de forma sistemática.
The Security Development LifecycleMichael Howard and Steve LipnerMicrosoft Presshttp://www.microsoft.com/learning/en/us/book.aspx?ID=8753
Navegador
Modo ProtegidoEjecución del navegador en modo restringido (low Integrity Level), reduciendo de esta forma la superficie de ataque.
Mecanismos de seguridad necesarios:User Account Control (UAC)Integrity LevelsUser Interface Privilege Isolation (UIPI)
Disponible en:Windows VistaWindows 7Windows Server 2008Windows Server 2008 R2
Minimizó
impacto
de MS08-78 en
Windows Vista
Navegador
Seguridad mejorada en Controles ActiveX
ActiveX Killbits (IE5)Entrada en el registro (Compatibility Flags del CLSID) que impide la ejecución de un objeto o control marcado como no seguro cuando alojado en el navegador.
Opt-In (IE7)
Mecanismo que reduce el número de controles disponible para los sitios web y que permite al usuario decidir que controles quiere habilitar.
Navegador
Seguridad mejorada en Controles ActiveX
Per Site (IE8)Bloqueo de los controles para que solo se puedan lanzar desde los sites para los que se diseñaron.
Per User (IE8)Permite la instalación de ActiveX solo para el usuario, sin necesidad de permisos de administración o elevación de permisos. Se puede deshabilitar mediante política.
Navegador
Data Execution Prevention (DEP)Evita la ejecución de código en paginas de memoria de datos, marcadas como no ejecutables.
Habilitado por defecto en IE8
Deshabilitado por defecto en IE7 por temas de compatibilidad de algunos Add-Ons
Servidor Web y Aplicaciones
Cookies HTTPOnly Políticas de grupoXDomainRequests – Cross Domain RequestsXDM – Cross Domain MessagingFiltro XSS – Cross Site ScriptingProtección contra ClickJacking
Ing. Social y Privacidad
Certificados SSL con Extended Validation (EV)Estándar de certificados que aparte del canal de comunicación seguro, proporciona información adicional y verificación de la identidad del propietario de un sitio web.
Ing. Social y Privacidad
Filtro SmartScreen – Bloqueo de Phishing y MalwareMecanismo de seguridad que protege a los usuarios ante ataques de phishing o descarga y ejecución de malware.
Clasificación de sites basada en reputación de URLs
Evaluación de reputación de URLs basada en heurísticas y telemetría
Servicio de reputación de URLs de la plataforma Live
Ing. Social y Privacidad
Destaque del nombre de dominioHace más visible el nombre del dominio, ayudando al usuario a estar seguro del sitio web donde se está conectando
Ing. Social y Privacidad
Borrado de histórico mejorado
Mayor granularidad en el borrado de datos de navegación
Borrado selectivo de entradas del histórico
Posibilidad de mantener la información de los sitios favoritos
Ing. Social y Privacidad
Navegación y Filtrado InPrivate
Navegación InPrivatePermite navegar de forma segura sin almacenar información localmente en el PC (por ejemplo: ficheros temporales, histórico, acceso a cookies persistentes).
Filtrado InPrivatePermite controlar la información asociada a la navegación que se envía a terceros, posibilitando el bloqueo de contenidos de los mismos.
© 2009 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.