Post on 21-Jun-2015
description
Windows 8 et la Sécurité
Bernard OurghanlianCTO & CSO
Microsoft France
Serveurs / Entreprise / Réseaux / IT
• De nombreuses nouvelles fonctionnalités de sécurité de Windows 8 ne seront pas abordées ici faute de temps – merci de bien vouloir m’en excuser
• Des éléments complémentaires sont présentés notamment pendant les sessions : – Le modèle de sécurité des Windows Apps (SEC313)– Mécanismes internes de la sécurité de Windows 8
(CLI301)
Avertissement
• Windows 8 : évolution de l’infrastructure en matière de sécurité
• Windows 8 : contrôle d’accès dynamique et classification des données
• Windows 8 : les fondamentaux
Sommaire
3
EVOLUTION DE L’INFRASTRUCTURE DE SECURITE
Windows 8 : évolution de l’infrastructure en matière de sécurité
Windows 8 : contrôle d’accès dynamique et classification des données
Windows 8 : les fondamentaux 4
Infrastructure : nouveautés sécurité de Windows 8
5
Résistance contre les malwaresProtéger le terminal, les données et les ressources de l’organisation en rendant le terminal sécurisé par défaut et moins vulnérable aux effets du malwareChiffrement omniprésent des terminauxSimplifier la gestion du provisionnement et de la conformité des volumes chiffrés sur un plus large ensemble de types de terminaux et de technologies de stockageContrôle d’accès moderne pour des modes de travail flexiblesModerniser le contrôle d’accès et la gestion des données tout en augmentant la sécurité des données au sein de l’organisation
Protéger contre et gérer les menaces
Protéger les données sensibles
Protéger l’accès aux ressources
• Un malware peut compromettre le processus de boot et l’intégrité de Windows
• Un malware peut se dissimuler de Windows et des logiciels anti-malware
• Un malware peut se charger avant le logiciel anti-malware et mettre ce dernier hors service
• L’antivirus est toujours à la traine derrière le dernier malware
Résistance au malware : les problèmes
6
• Boot sécurisé– Protection de bout en bout du processus de boot
• OS loader Windows • Fichiers système de Windows et pilotes de
périphériques• Logiciel anti-malware
– Fait en sorte d’empêcher• Le démarrage d’un système d’exploitation compromis• Un logiciel de démarrer avant Windows• Un logiciel tiers de démarrer avant l’anti-malware
– Permet une remédiation automatique et l’auto-guérison
Résistance au malware : boot sécurisé et évalué
Windows 8 tire parti des évolutions du hardware
Universal Extensible Firmware Interface (UEFI)• Une évolution majeure du BIOS traditionnel• Une solution indépendante de l’architecture conçue pour tous les
facteurs de forme• Fournit le support pour de nouvelles possibilités en termes de sécurité tel
que le boot sécurisé
Trusted Platform Module (TPM)• Un processeur de chiffrement de sécurité inviolable conçu pour effectuer des
opérations de chiffrement• TPM v.Next (2.0) a été conçu pour adresser les besoins de certains pays et les
préoccupations en termes de coûts• Peut être implémenté sous forme d’un composant discret ou au sein du firmware sur
un SOC
Les besoins pour mettre en place une sécurité robuste ne peuvent être satisfaits par le logiciel seul. Le logiciel doit établir une racine de confiance sécurisée au moyen d’un
hardware digne de confiance
• Bénéfices clés pour la sécurité– Boot sécurisé– Support eDrive pour BitLocker– Support du déverrouillage réseau pour BitLocker– Support multicast pour WDS
• Une exigence pour obtenir le logo Windows• Autres bénéfices
– Support SOC (ARM et Intel)– Meilleure expérience utilisateur
• Boot rapide, logo de l’OEM, pas de nécessité de flashage arrière, etc.
– Support des disques système de plus de 2,2 To– Boot « sans couture » (graphique UEFI)
Pourquoi UEFI ?
• Proposition de valeur du TPM– Permet la mise en place d’une sécurité de qualité commerciale via l’isolation des clés
physiques et virtuelles de l’OS– Spécification 1.2 : standard mature, des années de déploiement et de renforcement de
la sécurité– Des améliorations dans le provisionnement du TPM en ont abaissé la barrière du
déploiement
• Evolution du standard du TCG : TPM v.Next (2.0)– Extensibilité algorithmique permettant la mise en œuvre et le déploiement dans des
pays supplémentaires (remplacement des algorithmes de chiffrement)– Les scénarios de sécurité sont compatibles avec TPM 1.2 ou 2.0
• Windows 8 : Support de TPM 2.0 permettant le choix d’implémentation– TPM discret– TPM en firmware (ARM Trustzone, Intel Platform Trust Technology (PTT))– Exigence pour le logo Windows pour AOAC (Always-On Always Connected) seulement
Evolution du TPM
UEFI
OS Loader Window
s 8
Noyau Window
s et Drivers
Early Load Anti-
Malware
Drivers tiers
Login Window
s
Attestation
distante
BIOSMBR et Boot
Sector
OS Loader (Bootkit)
Noyau Window
s et Drivers
(Rootkit)
Drivers tiers
(Malware)
Démarrage Anti-malware
Login Window
s
Séquence de boot traditionnelle (avec injection de malware)
Séquence de boot Windows 8
Firmware enforces policy to only start
signed, recognised OS loaders
L’OS Loader assure que seuls les composants
du noyau et les drivers signés sont chargés
Microsoft or 3rd Party anti-malware is loaded.
Les mesures stockés dans le TPM peuvent être accédés par le
logiciel anti-malware pour attestation
distante
Boot sécurisé : BIOS vs. UEFI
• UEFI ne lancera qu’un OS Loader vérifié• En substance, un malware ne peut remplacer le boot loader
UEFI 2.3.1 natifOS Loader
vérifié seulement
Démarrage de l’OS
Boot sécurisé
Windows 8
Les processus de boot existants
BIOSTout code
d’OS LoaderDémarrage
de l’OS
• Le BIOS lance n’importe quel OS loader, même du malware• Maintenant le firmware rend obligatoire la politique de sécurité et ne lance que des OS loaders dignes de confiance
• L’OS loader rend obligatoire la vérification de signature des composants chargés ultérieurement
Early launch anti-malware (ELAM)
13
Processus de
boot existantsBIOS
Tout code de
Loader
Logiciel Anti-
Malware
Tout driver tiers
Windows
Logon
Processus de
boot Windows 8UEFI Natif
OS Loader
Drivers tiersELAM
Windows Logon
Politique rendue obligatoire• Le boot driver Anti-Malware est signé de manière spécifique• Windows démarre le logiciel ELAM avant tout autre boot driver tiers• Le driver ELAM peut rendre obligatoire la politique, même pour des
boot start drivers• Les malwares de type rootkit ne peuvent désormais plus contourner
l’inspection anti-malware
Boot mesuré avec attestation
Processus de
boot
existant
BIOSOS
Loader
Anti-Malwar
e
Drivers tiers
Initialisation du Kernel
Processus de
boot
Windows 8
UEFIOS
LoaderDrivers tiers
Initialisation du Kernel
Attestation
ELAM
• Des clients post-boot peuvent utiliser des mesures signées par le TPM pour prouver l’état initial du système et du logiciel ELAM
• Le logiciel ELAM peut invalider les déclarations sur l’état de santé du client si le client arrête de rendre obligatoire la politique de sécurité (i.e. ne fournit plus de mises à jour de signature ou exécute un logiciel inconnu)
Politique rendue obligatoire
TPM
Sécuriser le terminal – Protéger contre les menaces
Windows OS Loader
Boot UEFI
Noyau Windows et pilotes Logiciel AM
La logiciel anti-malware est lancé avant tous les logiciels tiers
Politique de Boot
Politique AM
Logiciel tiers
Le boot sécurisé évite les OS Loader malfaisants
1
2
TPM3
Les évaluations des composants y compris le logiciel AM sont stockés dans le TPM
Terminal Service d’attestation
4
Le terminal retrouve les évaluations par le TPM de l’état du terminal à la demande
Revendication de la santé du terminal
Windows Logon
Sécuriser le terminal lors du boot : en résumé
Boot Sécurisé• Evite ou détecte les tentatives de malware d’altérer le hardware d’un
terminal ou son système d’exploitation• S’assure que le logiciel anti-malware est toujours dipsonible et non
altéré• Détecte automatiquement et répare le système contre l’intrusion de
malware sans interaction avec l’utilisateur• Fournit une protection avancée en tirant parti du hardware de sécurité
et de la racine de confiance que permet ce dernier
Boot évalué• Utilisé pour évaluer l’intégrité des logiciels Windows et anti-malware• Service d’attestation distant qui peut analyser les évaluations d’intégrité qui sont
effectuées par le boot évalué• Aide à empêcher les systèmes compromis d’accéder aux ressources de l’entreprise• Services d’attestation distants pouvant être proposés par des tiers
1. Microsoft Defender est le composant au cœur de la défense anti-malware de Windows 8 fournissant la détection basée signature et de comportement du malware à la fois de façon passive (analyse périodique) et active (surveillance de comportement)
2. En service par défaut et configuré à travers l’Action Center sur Windows 8. Si un utilisateur installe une solution anti-malware tierce, alors Defender est mis hors service. Si la solution tierce devient inactive souvent en raison de l’expiration de l’essai), après 15 jours l’utilisateur est progressivement encouragé à remédier à la situation, y compris par la réactivation automatique de Defender
3. Les entreprises peuvent utiliser des solutions tierces ou System Center Endpoint Protection qui fournit le support d’une gestion basée sur des politiques et la génération de rapports consolidés. Le cœur du moteur anti-malware est le même.
Détection intégrée de malware
Early Launch Antimalware
Protections de l’intégrité du Boot
Protections Mémoire et Processus (ASLR, DEP, AppLocker,
SmartScreen, etc.)
Plateforme Antimalware
Dét
ection
bas
ée
Sig
nat
ure
Dét
ection
de
com
por
tem
ent
Trad
uct
ion
Dyn
amiq
ue
Prot
ection
co
ntr
e le
s vu
lnér
abili
tés
Def
ender
O
fflin
e
Res
taura
tion
dep
uis
le C
loud
Defe
nder
/ Syst
em
C
ente
r Endpoin
t Pro
tect
ion
Pla
tefo
rm
e
Win
dow
s 8
• Différences fonctionnelles limitées entre Windows 7 et Windows 8. Changement : – Support de IKEv2 pour le mode transport IPSec– Utilisation de cmdlets Powershell pour la configuration– Règles pour les Windows Store Apps
• 3 profils clé : Domain, Public et Private. Plusieurs profils peuvent être actifs simultanément, c’est-à-dire qu’un utilisateur peut être sur un hotspot Wi-Fi (profil Public) tout en étant connecté à un VPN (profil Domain)
• Points clés de configuration à noter :– Le filtrage sortant permet tous les accès par défaut– La journalisation est hors service par défaut
Pare-feu pour restriction de traffic entrant et sortant
• Windows Firewall with Advanced Security peut aussi être utilisé pour configurer comment et quand l’authentification doit survenir
• Ces paramétrages sont beaucoup plus importants avec Windows 8 car ils sont essentiels pour IPSec et DirectAccess
• Notez au passage, qu’ils n’autorisent ni n’interdisent une connexion – c’est le travail des règles du pare-feu
Pare-feu pour restriction de trafic entrant et sortant
Isolation
Auth exemptionServer-to-server
Tunnel
Custom Rule
Restreint en fonction de critères comme l’auth. KerberosNe requiert pas d’auth. entre les hôtes spécifiques
Auth. requise entre les hôtes spécifiques
Force l’utilisation d’un tunnel
Aucun des précédents
• Les développeurs de Windows Store Apps peuvent déclarer certaines capacités de leurs apps (capabilities) pour les classes d’accès réseau requises par l’App en question
• Quand l’App est installée, des règles approximatives du pare-feu sont créées automatiquement pour permettre l’accès
• Les administrateurs peuvent alors personnaliser la configuration du pare-feu pour raffiner cet accès s’ils désirent davantage de contrôle sur l’accès réseau pour l’App. Important – la capacité n’est pas contrôlée par les règles du pare-feu elles-mêmes
• Les politiques de groupe peuvent configurer ces restrictions sur une base par App ou par capacité
• Ces frontières réseau aident à assurer que les Apps qui ont été compromises peuvent seulement accéder les réseaux auxquels elles ont explicitement reçu l’accès . Ceci réduit de manière significative le périmètre de leur impact sur les autres Apps, l’ordinateur et le réseau. De plus, les Apps peuvent être isolées et protégées d’un accès malfaisant depuis le réseau
Isoler les Windows Store Apps avec Windows Firewall with Advanced Security
Isoler les Windows Store Apps (suite)
Fournit l’accès sortant à l’Internet et aux réseaux indignes de confiance (par exemple, les réseaux intranet où l’utilisateur a désigné le réseau comme « Public »). La plupart des Apps qui requièrent un accès Internet utilisent cette capacité
Home/Work Networking
Internet (Client)
Internet (Client and Server)
Proximity
Fournis l’accès entrant et sortant aux réseaux intranet que l’utilisateur a désigné comme un réseau « home » ou « work », ou, si le réseau a un contrôleur de domaine authentifié, l’accès entrant aux ports critiques est toujours bloqué
Fournit une communication near-field communication (NFC) avec les terminaux qui sont en proximité de l’ordinateur. « Proximity » peut être utilisé pour envoyer des fichiers ou se connecter à une application sur un terminal proche.
Fourni l’accès entrant et sortant à l’Internet et aux réseaux indignes de confiance. Cette capacité est un sur-ensemble de la capacité Internet (Client). L’accès entrant aux ports critiques est toujours bloqué.
Cap
acités
Rés
eau W
indow
s Sto
re A
pp
• La sécurisation des Apps avec, en particulier, la notion d’AppContainer est présentée en détail dans la session SEC313
Sécurisation des Apps
Sécuriser les connexions – Contrôle d’accès moderne
Authentification avec cartes à puce virtuelles• Manière facile à déployer et peu coûteuse de mettre en place une
authentification à plusieurs facteurs• Fournit une expérience « sans couture » et toujours prête pour les
utilisateurs finaux• Tire parti du hardware de sécurité qui est inclus dans de nombreux
terminaux
Direct Access• Toujours connecté. Si vous êtes sur Internet, vous êtes sur le réseau
d’entreprise• Connectivité sécurisée de bout en bout avec chiffrement fort• Options d’authentification flexibles à un ou plusieurs facteurs• Assure la conformité de l’état de santé du poste avant l’accès au réseau
d’entreprise• Fournit les correctifs quand les postes sont connectés à l’Internet• Déployé facilement et sans changement au sein de l’infrastructure réseau
existante
• Problème– L’authentification multi-facteur est difficile à
mettre en œuvre en raison des défis en termes de provisionnement, du coût et du support
• Besoin Windows 8– Fournir de nouvelles formes d’authentification
de telle façon que l’authentification multi-facteur puisse être plus largement adoptée
Contrôle d’accès moderne
Authentification basée sur un TPM
ENTREPRISE• Besoins
– La machine et l’identifiant de l’utilisateur utilisent des certificats protégés par le hardware sans nécessiter des périphériques séparés
• Scénarios clés– Authentification des
utilisateurs pour les accès distants
– Signature d’email/document– Authentification forte des
machines sur le réseau
CONSOMMATEUR• Besoins
– Une banque doit « connaitre » son client en utilisant une méthode disponible sur le marché afin de remplir, par exemple, les exigences de la FFIEC (Federal Financial Institutions Examination Council) - US
• Scénarios clés– Certificat utilisateur lié au TPM– Authentification utilisateur plus
forte sans nécessiter le besoin de mots de passe complexes ou de second facteur externe
• Le Windows Smartcard Framework a été étendu pour supporter les TPM
• Permet à des terminaux que l’utilisateur utilise déjà (PC) d’être utilisés comme des cartes à puce virtuelles
• Le TPM protège la carte à puce virtuelle et interdit l’export de certificat
Nouveau mécanisme d’authentification
• Fournit les trois fonctions les plus importantes des cartes à puce– Interdiction de l’exportation– Chiffrement isolé– Protection contre les attaques
• Pas de coût en dehors du fait d’avoir un poste muni d’un TPM
• Facile à utiliser, difficile à voler• Authentification à 2 facteurs
Cartes à puce virtuelles : une option pour une authentification à 2 facteurs
Comparaison techniqueCartes à puce Cartes à puce virtuelles (TPM)
Protège les clés privées en utilisant un dispositif de chiffrement intégré dans la carte à puce
Protège les clés privées en utilisant un dispositif de chiffrement intégré dans la carte à puce virtuelle
Stocke les clés privées dans une zone mémoire non volatile de la carte, accessible uniquement depuis la carte
Stocke les clés privées sur le disque dur, en n’utilisant leur forme déchiffrée que sur le TPM lui-même
Non export garanti par le fabricant de la carte qui peut revendiquer l’isolation des informations privées des accès de l’OS
Non export garanti par le fabricant du TPM qui peut revendiquer l’impossibilité pour un adversaire de répliquer ou de supprimer le TPM
Les opérations de chiffrement sont effectuées et isolées au sein de la carte
Les opérations de chiffrement sont effectuées et isolées au sein du chip TPM sur le poste de l’utilisateur
La protection contre les attaques est fournie par la carte elle-même
La protection contre les attaques est fournie par le TPM
Comparaison fonctionnelleCarte à puce Carte à puce virtuelle (TPM)
L’utilisateur doit disposer de sa carte à puce et de son lecteur pour accéder à une ressource réseau
Les crédentités ne peuvent être exportés depuis un poste donné, mais elles peuvent être réémises pour le même utilisateur sur un autre poste
La portabilité des crédentités est obtenue en insérant la carte à puce dans un lecteur sur un autre poste
Stocke les clés privées sur le disque dur, en n’utilisant leur forme déchiffrée que sur le TPM lui-même
Plusieurs utilisateurs peuvent accéder à des ressources réseau sur la même machine en insérant chacun leur carte à puce personnelle
Plusieurs utilisateurs peuvent accéder aux ressources réseau depuis la même machine chacun d’entre eux se voyant doté d’une carte à puce virtuelle sur cette machine
Comparaison en termes de sécuritéCarte à puce Carte à puce virtuelle (TPM)
La carte est conservée par l’utilisateur, ce qui rend les scénarios d’attaque difficiles sur le plan logistique
La carte est stockée sur l’ordinateur de l’utilisateur qui peut être laissé seul ou oublié, ce qui augmente la fenêtre de risque pour une attaque
La carte à puce est généralement utilisée pour un seul scénario, ce qui peut entrainer son oubli ou sa perte
La carte à puce virtuelle est installée sur un terminal qui a d’autres utilités pour l’utilisateur dont la responsabilité est donc plus fortement sollicitée
Si la carte est perdue ou volée, l’utilisateur ne remarquera son absence que s’il a besoin de se connecter
La carte à puce virtuelle est installée sur un terminal et est utilisée pour d’autres buts ; sa perte sera donc remarquée plus rapidement
• Authentification à deux facteurs pour l’accès distant– L’accès au domaine (comme chez Microsoft)– Très semblable à une carte à puce bien que celle-ci soit toujours insérée
– on doit seulement saisir le code PIN
• Authentification du client– Via SSL ou quelque chose de ressemblant– Utilisation potentielle au sein de banques, ressources de l’organisation
accessibles via un navigateur, etc.
• Redirection de la carte à puce virtuelle pour les connexions distantes– Utilisation d’une carte à puce virtuelle locale sur une machine distante– Les crédentités peuvent être utilisées comme si elles avaient été créées
sur le PC distant
Utilisation pour l’authentification
• Chiffrement des mails via S/MIME– Comme les cartes conventionnelles, les cartes virtuelles détiennent des
clés qui peuvent être utilisées pour le chiffrement et le déchiffrement des mails
– Le chiffrement / le déchiffrement est effectué au sein du TPM, donc plus sécurisé que les autres modes de stockage de clés
• BitLocker pour les volumes de données– Les clés utilisées par BitLocker peuvent être stockées sur des cartes à
puce virtuelles– Donc, pour accéder au volume, ce dernier ne peut être retiré de la
machine originelle et l’utilisateur doit connaitre le code PIN de la carte à puce virtuelle
– A la fois le disque local et le disque portable (pour les sauvegardes) peuvent être chiffrés
Utilisation pour la protection
Sécuriser les ressources – Protéger les données sensibles
Provisionnement amélioré•Processus de paramétrage intégré du chiffrement BitLocker qui simplifie le provisionnement de postes sécurisés
•Bien meilleures performances qui améliore de façon spectaculaire le temps de provisionnement d’un poste (min vs. h.)
•Provisionne BitLocker sur n’importe que terminal ayant le logo Windows sans restrictions régionales
Protection de volume pour l’entreprise•Options flexibles de protection de volume et amélioration de la sécurité sur les disques Windows 8 afin d’améliorer l’expérience des utilisateurs finaux
•Nouvelles options de protection pour que BitLocker soit utilisé sur un ensemble plus large de clients et de serveurs
Prêt pour les serveurs•Permet le chiffrement de volumes sur les SAN•Supporte la protection de volumes sur des serveurs en cluster•Supporte l’authentification multi-facteur en mode inattendu
Amélioration de la performance•Amélioration de la performance système à travers l’utilisation des Self Encrypting Drives (SED) (eDrive)
•Améliore de façon spectaculaire le temps pris pour chiffrer les nouveaux volumes (minutes vs. heures)
BitLocker et BitLocker to Go
• Difficultés actuelles– Quand on provisionne un nouveau poste, le processus de chiffrement peut prendre plus d’une
heure– Le chiffrement effectué en logiciel a un impact sur la performance globale du système et la durée
de la batterie• Windows ne supporte pas les disques auto-chiffrants qui résolvent ce problème et sont
disponibles aujourd’hui– Les PC qui sont patchés et nécessitent un redémarrage sont incapables de démarrer en mode
« inattendu » quand on utilise un code PIN– Tous les PC ne sont pas équipés de TPM– Il est nécessaire de requérir le chiffrement avant de donner accès à l’email
• Les exigences de Windows 8– Un large support pour le chiffrement des disques sur toutes les architectures matérielles– Réduire le temps pour chiffrer un nouveau PC– Améliorer les performances du système et la durée de la batterie– Supporter un vaste ensemble de périphériques de stockage et de configurations (eDrives, SAN,
Clusters,…)– Améliorer le processus de patching quand un 2ème facteur d’authentification peut être utilisé– Supporter à la fois les TPM discrets et ceux basés sur le firmware (UEFI)
Chiffrement omniprésent
• Support par BitLocker du Trusted Platform Module (TPM)– Support pour TPM v1.2 et v2.0– Support pour des TPM discrets et en firmware– L’installation de Windows provisionnera un firmware basé sur le
TPM pour les machines qui supportent des environnements d’exécution sécurisés (ARM TrustZone; Platform Trust Technology (PTT) Intel)
• La flexibilité des options de chiffrement améliore le processus de provisionnement– Chiffrement de l’espace disque utilisé seulement ou le disque entier– Pré-provisionnement du PC avec BitLocker avant de procéder à
l’installation de Windows
Amélioration du provisionnement
48
Nouvelles options pour les protecteurs
• Password Protector (volume de l’OS)– Permet l’utilisation d’un mot de passe sur le volume de l’OS. Utile pour les postes sans TPM
• Network Protector– Permet à des PC connectés au réseau de l’organisation de booter sans PIN– Simplifie le processus de patch pour les serveurs et les postes, wake on LAN, facilite l’usage pour les utilisateurs finaux
• Active Directory Account/Group Protector– Permet à un volume de données d’être déverrouillé quand un utilisateur ou un compte de machine accède le volume
Volume de l’OS Voumes de données Volumes amovibles
TPM seulTPM+PINTPM+StartupKeyTPM+PIN+StartupKeyStartupKey ProtectorNetwork Protector (nouveau)Password Protector (nouveau)Public Key Protector (DRA – Data Recovery Agent)
Password ProtectorSmartcard ProtectorCompte AD ou Groupe (nouveau)Public Key Protector (DRA – Data Recovery Agent)
Password ProtectorSmartcard ProtectorCompte AD ou Groupe (nouveau)Public Key Protector (DRA – Data Recovery Agent)
• Les possibilités et le comportement du Network Protector– Utilise en combinaison avec TPM + PIN– PIN non nécessaire si le boot a lieu quand on est connecté au réseau d’entreprise– PIN nécessaire si le boot a lieu quand on n’est pas connecté au réseau d’entreprise
• Exigences– Client – TPM, UEFI 2.3.1 avec support pour DHCPv4 et DHCPv6 (exigence pour le logon
Windows 8), port LAN connecté– Serveur – Windows Server 2012 avec Windows Deployment Services (WDS)
• Processus de boot réseau– Le PC boote et utilise DHCP pour contacter un serveur WDS si une connexion cablée
existe– Si le serveur WDS est disponible, le client requiert une clé depuis le serveur WDS ; si
non un code PIN est nécessaire– Le serveur WDS valide le client et envoie une clé de déverrouillage au client à travers
le réseau– Le client reçoit la clé et déverrouille le volume de l’OS Windows. Le système boote
Nouvelles options de protecteur : Network Protector
50
Windows 7 Windows 8
Active DirectoryClé USBImpressionData Recovery Agent
Active DirectoryClé USBImpressionData Recovery AgentSkydrive (nouveau)
• Options de sauvegarde de la clé de recouvrement
Récupération du volume client
51
• Recouvrement de volume via Skydrive• Utilisé pour des machines non jointes au domaine• Séquestre les clés pour les volumes OS, données, et
amovibles• Skydrive dispose d’une interface utilisateur qui fournira
l’accès aux clés de recouvrement
• Implications en termes de performance de BitLocker avec Windows 7– Surcoût pendant le chiffrement, le démarrage, les opérations normales, etc.– Implications exacerbées sur des portables ou des tablettes sur batteries– Disques auto-chiffrants non supportés avec Windows 7
• Windows 8 améliore les performances de BitLocker et supporte les eDrives– Le traitement du chiffrement est déporté vers le hardware– Ceci permet de réduire l’utilisation du courant et augmente la durée des
batteries– Suppression du temps initial de chiffrement des volumes. Amélioration des
opérations normales– BitLocker gère les clés (AD et MBAM)– Les systèmes sans Self Encrypting Drives utilisent un chiffrement logiciel
Support des Self Encrypting Drives (eDrives)
52
• Support par BitLocker des SAN– Support de volumes sur iSCSI et Fiber Channel– Le chiffrement d’un gros volume vide est rapide quand on utilise l’option
« chiffrement de l’espace utilisé seulement »– Supporte des volumes de données sur un LUN– Le Thin Provisioning est détecté automatiquement
• Exigences– Le Host Bus Adapter (HBA) doit remplir les exigences du logo Windows– Les RAID doivent remplir les exigences du logo Windows
• Remarque : les fonctionnalités RAID telles que la déduplication et le déchargement de la copie ne fonctionneront pas quand un volume est protégé par BitLocker
Support des Storage Area Networks (SAN)
53
• BitLocker support les clusters Windows– Volumes partagés Cluster (CSV - Cluster Shared Volumes) – Volumes de basculement traditionnels
• Options protecteurs– Utilisation de l’AD via Account/Group Protector– L’identité Cluster Name Object (CNO) déverrouille le
volume– Le cluster déverrouille le volume quand il le monte
• Exigence – Un contrôleur de domaine Windows Server 2012
Support des clusters
54
Besoins hardware et utilisation par les différentes fonctionnalités
Fonctionnalité TPM* UEFI eDrives
1 BitLocker: chiffrement volume X X X**
2 BitLocker: déverouillage volume réseau X X
3 Boot sécurisé X
4 Boot sécurisé : ELAM X
5 Evaluation du boot X X
6 Cartes à puce virtuelles (TPM) X X
7 Stockage de certificat (basé TPM) X X
8 Provisionnement automatique du TPM X X
* La fonctionnalité tire parti du TPM discret. S’il n’y en a pas, il est possible d’utiliser l’environnement d’exécution sécurisé du firmware ** Permet de bénéficier d’amélioration de performance mais ne requiert pas d’eDrive
CONTRÔLE D’ACCÈS DYNAMIQUE ET CLASSIFICATION DES DONNÉES
Windows 8 : évolution de l’infrastructure en matière de sécurité
Windows 8 : contrôle d’accès dynamique et classification des données
Windows 8 : les fondamentaux 56
Protéger l’accès aux ressources
Contrôle d’accès dynamique• Le contrôle d’accès s’adapte automatiquement aux changements au sein de
l’environnement et réduit de façon spectaculaire le coût de gérer et de sécuriser l’accès aux ressources sur les serveurs de fichiers
• L’accès aux ressources est fondés sur des étiquettes qui peuvent être ajoutées dynamiquement aux ressources en fonction de la localisation, de l’application ou être ajoutées manuellement par le possesseur du contenu
• Un système de contrôle intelligent tire parti des propriétés des utilisateurs et des états du terminal pour prendre des décisions d’autorisation
• Peut assurer que les ressources sont chiffrées et restent sur des systèmes et des disques (chiffrés) sécurisés
• Facile à déployer et à administrer grâce à des fonctionnalités avancées de création et d’audit des contrôles d’accès
• Introduction du modèle fondé sur les revendications au sein de la plateforme Windows
• Introduction d’un modèle permettant de cibler les politiques d’accès et d’audit sur la base d’un étiquetage afin de conduire la mise en place d’une politique de sécurité efficace et d’implémenter ce modèle pour les fichiers
• Combler le gap entre l’informatique et les propriétaires d’information en utilisant une notion d’étiquetage pour les fichiers
Quelques évolutions importantes pour Windows 8 sur le sujet de l’identité
Les évolutions avec Windows 8/Windows Server 2012
Placer les revendications au cœur de la plateforme d’authentification via Kerberos avec Active Directory
Améliorer la plateforme d’autorisation pour les fichiers pour créer et gérer des politiques d’accès plus riches avec des revendications
Améliorer la plateforme d’audit des fichiers pour mettre en place des contrôles d’audit efficaces au sein de l’organisation
Projeter les revendications utilisateurs et terminaux pour une consommation par les .apps .NET
Améliorer l’infrastructure de gestion de fichiers
Les évolutions avec Windows 8/Windows Server 2012
Placer les revendications au cœur de la plateforme d’authentification via Kerberos avec Active Directory
Améliorer la plateforme d’autorisation pour les fichiers pour créer et gérer des politiques d’accès plus riches avec des revendications
Améliorer la plateforme d’audit des fichiers pour mettre en place des contrôles d’audit efficaces au sein de l’organisation
Projeter les revendications utilisateurs et terminaux pour une consommation par les .apps .NET
Améliorer l’infrastructure de gestion de fichiers
• Le Contrôleur de Domaine émet des groupes et… des revendications ! – Les revendications (utilisateur et terminal) proviennent des
attributs d’identité au sein d’AD– Identité composite – fait correspondre un utilisateur au
terminal qui sera autorisé comme un principal (au sens Kerberos)
– Les revendications sont délivrées au sein d’un PAC Kerberos
• Un jeton Windows a des sections– Données utilisateur et terminal– Revendications et groupes !
• OID vers revendication pour les autorisations basés sur les certificats
• Support pour transformation des revendications inter-forêts
AuthentificationQUOI DE NEUF
Jeton Windows 8
Owner
Group
User Groups
Claims
Device Groups
Claims
Les évolutions avec Windows 8/Windows Server 2012
Placer les revendications au cœur de la plateforme d’authentification via Kerberos avec Active Directory
Améliorer la plateforme d’autorisation pour les fichiers pour créer et gérer des politiques d’accès plus riches avec des revendications
Améliorer la plateforme d’audit des fichiers pour mettre en place des contrôles d’audit efficaces au sein de l’organisation
Projeter les revendications utilisateurs et terminaux pour une consommation par les .apps .NET
Améliorer l’infrastructure de gestion de fichiers
Autorisation
MISE A JOUR DU MODELE d’ACL
Support pour les expressions
avec primitives ‘AND’/’OR’
User.memberOf (USA-Employees) AND User.memberOf (Finance-Division) AND User.memberOf (Authorization-Project)
Support des revendications utilisateur
depuis AD
User.Division = ‘Finance’ AND User.CostCenter = 20000
Support pour revendications statiques
depuis AD
User.Division = ‘Finance’AND Device.ITManaged = True
Politique cible en fonction du type de ressource
IF (Resource.Impact = ‘HBI’)ALLOW AU Read User.EmployeeType = ‘FTE’
• Pas d’expressions dans ACL
• Inflation des groupes
• ACL basées sur groupe• Inflation des groupes
• Impossible de contrôler l’accès sur l’état du terminal
• Impossible de cibler une politique sur type de res.
• Support de revendications dans les ACE gérées comme des chaînes SDDL (Security Descriptor Definition Language)
• Ajouts/suppression de chaînes SDDL via des fonctions standards de manipulation de chaînes
Windows 7Avec Windows
8 Exemple
Politique de contrôle d’accès basée sur des expressions
Revendications utilisateurUser.Department = Finance
User.Clearance = High
POLITIQUE D’ACCESS’applique à : @Resource.Impact == “High”
Allow | Read, Write | if (@User.Clearance == “High”) AND (@Device.Managed == True)
Revendications terminalDevice.Department = Finance
Device.Managed = True
Propriétés ressourcesResource.Department =
FinanceResource.Impact = High
Active Directory
Serveur de fichiers
• Amélioration des API SDDL pour fonctionner avec les revendications
• Application des Security Descriptors aux objets• Amélioration des API CheckAccess en mode
user pour fonctionner avec les revendications• Création et distribution centrale des politiques d’accès
– Politique d’accès centralisée à l’information créée dans l’AD– Politique d’accès distribuée via les politiques de groupe vers les serveurs cibles
• Nouvelle IHM pour les ACL– Fournir le support des ACL avec des revendications pour les utilisateurs finaux– Peut être invoquée depuis une application custom
AutorisationAMELIORATIONS
Les évolutions avec Windows 8/Windows Server 2012
Placer les revendications au cœur de la plateforme d’authentification via Kerberos avec Active Directory
Améliorer la plateforme d’autorisation pour les fichiers pour créer et gérer des politiques d’accès plus riches avec des revendications
Améliorer la plateforme d’audit des fichiers pour mettre en place des contrôles d’audit efficaces au sein de l’organisation
Projeter les revendications utilisateurs et terminaux pour une consommation par les .apps .NET
Améliorer l’infrastructure de gestion de fichiers
• Cibler des audits sur la base d’expressions fondées sur des revendications– N’auditer que selon dont vous avez besoin !
• Ex: Auditer seulement l’accès à « mes données sensibles » par « mes sous-traitants »
– Réduire le volume d’audit et simplifier l’analyse et la gestion des audits
• Amélioration des métadonnées du schéma dans les événements d’audit– Permet un meilleur reporting et de meilleures corrélations
• Plateforme de test– Tester les changements de politiques d’accès avec ZERO impact sur les
opérations et la production– Tester les différences de captures d’événements d’audit lors des accès
AuditCE QUI EST NOUVEAU
Les évolutions avec Windows 8/Windows Server 2012
Placer les revendications au cœur de la plateforme d’authentification via Kerberos avec Active Directory
Améliorer la plateforme d’autorisation pour les fichiers pour créer et gérer des politiques d’accès plus riches avec des revendications
Améliorer la plateforme d’audit des fichiers pour mettre en place des contrôles d’audit efficaces au sein de l’organisation
Projeter les revendications utilisateurs et terminaux pour une consommation par les .apps .NET
Améliorer l’infrastructure de gestion de fichiers
• AD FS 2.1 est disponible en standard sous la forme d’un server role au sein de Windows Server 2012– Le rôle existant d’ ADFS 1.x a été remplacé par le nouvel AD FS 2.1– Le Claims Aware Web agent continuera d’être livré sous la forme d’un
composant « déprécié » afin de permettre la continuité opérationnelle des applications existantes et construire sur la base de la dll de SSO d’ADFS 1.x
– Ajoute le support pour permettre l’émission de revendications terminal depuis le ticket Kerberos pour des applications Claims Aware
– Pas de support d’AD LDS comme un espace de stockage pour l’authentification
– Pas de support pour un ‘NT token’ web agent
AD FS 2.1 dans Windows 8/Windows Server 2012
Les évolutions avec Windows 8/Windows Server 2012
Placer les revendications au cœur de la plateforme d’authentification via Kerberos avec Active Directory
Améliorer la plateforme d’autorisation pour les fichiers pour créer et gérer des politiques d’accès plus riches avec des revendications
Améliorer la plateforme d’audit des fichiers pour mettre en place des contrôles d’audit efficaces au sein de l’organisation
Projeter les revendications utilisateurs et terminaux pour une consommation par les .apps .NET
Améliorer l’infrastructure de gestion de fichiers
Infrastructure de classification de fichiersInformation d’étiquetage
Basé sur l’emplacement
Manuel
Classification automatique
Application
FCI
Classificateur de contenu
intégré
Plugin de classification
tiers
// instantiate new classification managerFsrmClassificationManager cls =
new FsrmClassificationManager();
//get defined properties ICollection c = cls.EnumPropertyDefinitions(_FsrmEnumOptions.FsrmEnumOptions_None);
// inspect each property definitionforeach (IFsrmPropertyDefinition p in c){/*...*/}
Points d’intégration
Comment peut-on classifier l’information ?
• Basé sur le répertoire dans lequel est créée le fichier• Déterminé par le « responsable métier » qui définit le répertoire
En fonction de l’emplacement
• Spécifié par l’utilisateur• On peut utiliser des modèles de documents pour les paramètres par
défaut• Applications de création de données qui marquent les fichiers créées
par les utilisateurs
Manuel
• Classification automatique basée sur le contenu et d’autres caractéristiques
• Bonne solution pour classifier une grosse masse d’information déjà existante
Classification automatique
• Applications métier qui stockent des informations sur les serveurs de fichiers
• Applications de gestion de donnéesApplication
Propriétés de classification de base
Domaine Propriétés Valeurs
Information Privacy
Personally Identifiable Information High; Moderate; Low; Public; Not PII
Protected Health Information High; Moderate; Low
Information SecurityConfidentiality High; Moderate; LowRequired Clearance Restricted; Internal Use; Public
Legal
CompliancySOX; PCI; HIPAA/HITECH; NIST SP 800-53; NIST SP 800-122; U.S.-EU Safe Harbor Framework; GLBA; ITAR; PIPEDA; EU Data Protection Directive; Japanese Personal Information Privacy Act
Discoverability Privileged; HoldImmutable Yes/No
Intellectual PropertyCopyright; Trade Secret; Parent Application Document; Patent Supporting Document
Records Management Retention Long-term; Mid-term; Short-term; Indefinite
Retention Start Date <Date Value>
Organizational
Impact High; Moderate; Low
Department Engineering ;Legal; Human Resources …
Project <Project>Personal Use Yes/No
Infrastructure de classification de fichiersAppliquer la politique en fonction de la classification
84
Tache de gestion de
fichiers
Fait correspondre le fichier à la politiqueClassifier le fichier
FCIContrôle d’accès
Contrôle d’audit
Chiffrement RMS
Rétention
Autres actionsPoints d’intégration
Appliquer la politique
Contrôle d’accès dynamique en bref
Identifier les données
Etiquetage manuel par les
propriétaires de contenus
Classification automatique (étiquetage)
Etiquetage applicatif
Contrôler l’accès
Politiques d’accès centrales basées sur les étiquettes
des fichiers
Conditions d’accès basées sur des
expressions utilisant revendications utilisateurs et
étiquettes
Remédiation en cas de refus d’accès
Auditer l’accès
Conditions d’audit basées sur des
expressions utilisant revendications utilisateurs et
étiquettes
Politiques d’audit qui peuvent être
appliquées sur différents serveurs
de fichiers
Staging des audits pour simuler les changements de politique dans un
environnement réel
Protéger les données
Protection RMS automatique des
documents Office en fonction des étiquettes
Protection en quasi-temps réel juste après que le
fichiers ait été étiqueté
Extensibilité pour des protecteurs
différents de RMS Office
LES FONDAMENTAUX
Windows 8 : évolution de l’infrastructure en matière de sécurité
Windows 8 : contrôle d’accès dynamique et classification des données
Windows 8 : les fondamentaux 86
• Menace : Les buffer overflow et les autres attaques mémoire permettant le contrôle d’un pointeur en mémoire et l’exécution de code arbitraire
• La situation pour ce qui concerne les exploits mémoire :– Seuls 6 % des systèmes ont été compromis à travers des exploits mémoire (SIR)– La plupart des exploits ciblent des applications tierces et d’anciens logiciels (XP)– La plupart des exploits échouent quad les protections mémoire sont en service– Mais les exploits de type zéro-day existent et les attaquants se focalisent vers les
zones mémoire moins protégées
• Windows 8 introduit au moins 20 mécanismes complémentaires de sécurisation de la mémoire qui atténuent des ensembles de vulnérabilités, cassent certaines techniques d’exploitation connues et augmentent le coût de l’exploitation de ces vulnérabilités
Windows 8 et atténuation des exploits mémoire
Windows 8 et atténuation des exploits mémoire
Génération de code
Address Space Layout Randomisation
Windows Heap
Noyau Windows
Paramètres par défaut
Protections /GS disponible pour la compilation avec VS 2010
Introduit avec Vista, les attaquants s’appuient sur les lacunes dans ASLR
Renforcement effectif de la Heap, nouvelles techniques d’attaque
Exploits à distance limités, mais la plus grand partie de la mémoire Kernel est marquée exécutable
D’avantage de sécurité par défaut mais on repose sur l’usage applicatif
Windows 7 Amélioration /GS, vérifications de plages,
optimisation par scellement, virtual table guard
ASLR forcé, randomisation de bas en haut / haut en bas, entropie élevées
Contrôles d’intégrité, pages de garde, et randomisation de l’ordre d’allocation
DEP, ASLR, SMEP/PXN, protection contre déréférencement Null, contrôles intégrité
Défauts plus sévères pour les Apps, IE10, Office, terminaux ARM
Windows 8
• Amélioration /GS pour la protection contre les stack buffer overrun– Disponible avec Visual Studio 2010, amélioré avec VS2012– Windows 8 construit entièrement avec l’amélioration /GS
• Les heuristiques /GS protègent désormais davantage de fonctions– Tableaux ne contenant pas de pointeurs et structures C
• Optimisation /GS supprime les contrôles non nécessaires
• Fermeture des lacunes dans la protection– Exemples : MS04-035, MS06-054, MS07-017
Génération de code : amélioration /GS
• Si une classe est « scellée », elle ne peut pas avoir de classe dérivée. D’où il s’en suit que les appels à des méthodes virtuelles deviennent des appels directs
• Eliminer les appels indirects réduit les surfaces d’attaques pour les exploitations :
• Atténue des vulnérabilités telles que CVE-2011-1996• A titre d’exemple, on a « dévirtualisé » 4500 appels dans
mshtml.dll
Génération de code : scellement
class ClassName sealed : public Cinterface{ … }
• Insertion par le compilateur d’un contrôle des limites des tableaux
• Atténue complètement certaines vulnérabilités• CVE-2009-2512, CVE-2010-2555
• Limité à des scenarios spécifiques (notamment pile de taille fixe)
Génération de code : vérification de plages
CHAR Buffer[256];UINT i;If (i >= ARRAYSIZE(Buffer)) { __report_rangecheckfailure();}Buffer[i] = 0;
Potentiellement contrôle par l’attaquant
Code inséré par le compilateur
• Atténuation probabiliste d’une éventuelle corruption de pointeur vtable permis par une annotation de l’interface
• Une entrée supplémentaire est ajoutée à la vtable, dont l’emplacement mémoire est randomisé par ASLR
• Un contrôle est ajouté aux appels de la méthode virtuelle pour trouver l’entrée supplémentaire et si l’on arrive pas à la trouver, on « met à mort » le processus
Génération de code : Virtual Table Guard
• ASLR a été introduit d’abord avec Windows Vista et a conduit à une évolution majeure dans l’approche des attaquants
• Les attaquants dépendent maintenant :– D’EXE/DLL dont l’édition de lien n’a pas été faites avec /DYNAMICBASE– De l’éparpillement de l’espace d’adressage (heap/JIT)– Des régions mémoire prévisibles– Des divulgations d’information
• Avec Windows 8, les processus peuvent désormais forcer les images non-ASLR à être randomisée (Force ASLR) :– Se comporte comme si la base préférée d’une image n’était pas disponible– La randomisation de bas en haut fournit l’entropie nécessaire pour ces images– Les processus peuvent choisir la mise en service de ce comportement
• Dans Windows 8, un grand nombre de vecteurs de divulgation d’information ne sont plus utilisables :– ImagePointers a été supprimé de SharedUserData (une structure à la même adresse
relative dans tous les processus)
Address Space Layout Randomisation
Address Space Layout Randomisation
Espace d’adressag
e
Windows 7 :• Heaps et stacks sont randomisés• PEB/TEB sont randomisés mais avec une
entropie limitée• VirtualAlloc et MapViewOfFile ne sont pas
randomisés• Il peut donc exister des régions mémoire
prévisibles
Windows 8 :• Toutes les allocations de bas en haut / de
haut en bas sont randomisées• Effectué en biaisant les adresses de base
des allocations• PEB/TEB reçoivent maintenant beaucoup
plus d’entropie• Les 2 sont au choix (EXE marqué
/DYNAMICBASE)
Allocations de haut en bas(PEBs, TEBs, MEM_TOP_DOWN)
Allocations de bas en haut(Stacks, Heaps, Mapped files, VirtualAlloc, etc)
Entropie élevée pour les processus 64 bits
• 8 Go de variation dans la start address de haut en bas
• Mis en service automatiquement si la randomisation de haut en bas est en fonction
Randomisation haute entropie de bas en haut
Randomisation haute entropie de haut en bas
Randomisation haute entropie des images
• 1 To de variation dans la start address de bas en haut
• Casse l’éparpillement traditionnel de l’espace d’adressage (heap/JIT)
• Les processus doivent choisir la mise en service
• Les images basées au-dessus de 4 Go reçoivent plus d’entropie
• Toutes les images système ont été déplacées au-dessus de 4 GoH
aute
entr
opie
/ A
SLR
pou
r le
s pro
cess
us
64 b
its
• ASLR avec Windows 8 tire parti du grand espace d’adressage (8 To) des processus 64 bits afin de réduire la probabilité de deviner une adresse
Entropie élevée pour les processus 64 bits
32 bits
64 bits
32 bits
64 bits
64 (HE)
Allocations de bas en haut (à choisir)
0 0 8 8 24
Stacks14 14 17 17 33
Heaps5 5 8 8 24
Allocation de bas en haut (à choisir)
0 0 8 17 17
PEB/TEB4 4 8 17 17
Images EXE8 8 8 17* 17*
Images DLL8 8 8 19* 19*
Images DLL non-ASLR (à choisir)
0 0 8 8 24
* Les DLL 64 bits basées sous 4 Go reçoivent 14 bits, les EXE sous 4 Go reçoivent 8 bits
Windows 7 Windows 8
La Heap
• Le renforcement de la Heap a été introduit et s’est révélé être extrêmement efficace. Quelques nouvelles attaques proposées par les chercheurs en sécurité mais les exploits réels ciblent les données applicatives sur la Heap et pas les métadonnées
• La conception générale de la Heap n’a pas changé mais quelques contrôles d’intégrité ont été introduits dans la LFH (utilise pour des tailles <16 KO)
Allocateur (LFH – Low-Fragmentation Heap)
Changement avec Windows 8
Impact
LFH est désormais un allocateur basé sur une bitmap
Corruption de LinkOffset désormais impossible
Suppression de plusieurs gestionnaires d’exception de type catch-all
Les exceptions ne sont plus avalées
Un Heap handle de peut désormais plus être libéré
Empêche des attaques qui tentent de corrompre l’état du Heap handle
La Heap CommitRoutine est encodée avec une clé globale
Empêche les attaques qui permettent le contrôle du pointeur de CommitRoutine
Validation de l’en-tête d’extension de bloc
Empêche la libération involontaire de blocs de la Heap en usage
Les blocs occupés ne peuvent pas être alloués
Empêche diverses attaques qui réallouent un bloc en usage
L’encodage de la Heap est mis en service en mode kernel
Meilleure protection des en-têtes d’entrée de Heap
La Heap
• Les pages de garde sont désormais utilisées pour partitionner la Heap• Conçu pour empêcher / localiser une
corruption• Toucher une page de garde génère une
exception
• Les points d’insertion pour les pages de garde sont contraints à ne concerner que des grandes allocations, des segments de Heap et des sous-segments de la taille maximale pour la LFH
Pages de garde
• L’ordre d’allocation est désormais non déterministe (seulement LFH) • Rend peu fiable les exploits s’appuyant sur
la manipulation de la Heap
Randomisation de l’ordre d’allocation
… Mémoire HeapPage de
GardeMémoire Heap …
1er 2nd3èm
e4èm
e5èm
e6èm
e7èm
e8èm
e9èm
eD C
7ème
5ème 1er
6ème 2nd
9ème
4ème
3ème
8ème
DC
Débordement
Cible
Ordre d’allocation
Le noyau
• Les vulnérabilités du Kernel ont été moins la cible des attaquants avec seulement quelques exploits ciblant le Kernel à distance– Mais, la cible des attaques semble être
en train de se diriger à nouveau vers le Kernel en raison de l’utilisation des bacs à sable, si l’on en juge par la compréhension de certains exploits du Kernel en local qui sont la preuve de certains exploits sophistiqués du Kernel à distance
• DEP est largement mis en service au sein du noyau de Windows 8 (cf. tableau ci-joint)
Data Execution Prevention (DEP) au niveau Kernel x86 x64 ARM
Version de Windows 7 8 7 8 8
Paged pool X X NX NX NX
Non-paged pool X X X X X
Non-paged-pool (NX) * N/A NX N/A NX NX
Session pool X X NX NX NX
Image data sections X X NX NX NX
Kernel stacks NX NX NX NX NX
Idle/DPC/Initial Stacks X NX X NX NX
Page table pages X NX X NX NX
PFN database X NX X NX NX
System cache X NX X NX NX
Shared user data X NX X NX NX
HAL heap X NX X NX NX• Windows 8 introduit NonPagedPoolNx comme
nouvelle région mémoire
Le noyau
• Nouvelles fonctionnalités de sécurité des processeurs permettant d’interdire l’exécution par le superviseur de code se trouvant dans les pages user
• Requiert Intel Ivy Bridge ou ARM avec support PXN
Améliorations ASLR Kernel
Support pour SMEP/PXN
Protection déréférencement Null
Autres améliorations
• L’ASLR Kernel a été tout d’abord introduit avec Windows Server 2008, avec 4 bits d’entropie pour les drivers, 5 bits pour NTOS/HAL
• L’entropie a été améliorée avec Windows 8 à travers un biais du segment de base du kernel, entropie 22 bits / 12 bits. Randomisation des régions de boot
• L’unlinking sûr a été mis en service globalement, pas juste pour la Heap et pour la Kernel pool
• Amélioration de l’entropie à travers l’amorçage du PRNG depuis le TPM
• L’Object manager a été renforcé contre les débordements de comptes de référence
• La divulgation d’information par le Kernel via certain appels systèmes a été résolue
• L’exploitation en local d’une déréférencement par le Kernel est généralement trivial
• Windows 8 interdit le mappage des premiers 64 K, de telle façon que tout déréférencement NULL par le Kernel devient un déni de service et pas une mort de processus
• NTVDM a aussi été mis hors service pas défaut
Paramétrage par défautParamétrage par défaut pour Windows 8
32 bit (x86) 64 bit (x64) ARMTout le code
W8 UI Apps
IE10 Défaut
W8 UI Apps
IE 10 Défaut
DEP Oui Oui Choix On On Choix Oui
ASLR (images) Oui Oui Choix On On Choix Oui
ASLR (force la relocation)
Oui Oui Choix On On Choix N/A *
ASLR (bas-haut) Oui Oui Choix On On Choix Oui
ASLR (haut-bas) Oui Oui Choix On On Choix Oui
ASLR (haute entropie)
N/A N/A N/A On On Choix N/A (pas 64 bits)
SEHOP Oui Oui Choix N/A N/A N/A N/A (pas requis)
Fin de la Heap Oui Oui Choix Oui Oui Oui Oui* Les images ARM PE doivent choisir DEP et ASLR, donc ASLR en mode Force n’est pas requis
Q&R
102
© 2013 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions,
it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.