Séminaire Windows Seven

Mardi 16 Juin 2009Diagora

Toulouse

Frédéric AGNES Christopher MANEU

Fondamentaux de la Sécurité

• Nouveautés Sécurité Vista• UAC• Audit Renforcé• Pare-Feu

Reprise des Fonctionnalités de Sécurité de Windows Vista

• Code Sécurisé dès la conception• Protection du Système• UAC – User Account Control

Fondations Windows Vista

Apport de Windows 7

• UAC optimisé• Audit Amélioré

User Account Control Amélioration de l’auditing

Pourquoi UAC ?

• Tout exécuter comme administrateur

– Le défaut avec Windows XP et versions antérieures– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout

de suite !• User Account Control

– Introduit avec Windows Vista– Séparation des privilèges et des tâches que peut réaliser l’utilisateur

standard de ceux qui nécessitent un accès administrateur– Augmentation de la sécurité en vous permettant de faire de

l’utilisateur standard l’utilisateur par défaut pour une utilisation quotidienne

– Une nouvelles idée puissante mais qui va mettre du temps à faire son chemin…

Un changement de paradigme pour Windows

• Les utilisateurs UNIX ont connu un tel fonctionnement depuis le commencement– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web

comme root– Le système encourage à cela ; si vous lisez un mail comme root, vous lisez le mail de root au lieu de votre propre mail…

• L’écosystème Windows doit s’adapter– Les utilisateurs ont besoin de comprendre que certains

changements du système nécessitent l’utilisation de privilèges pour une bonne raison

– Les applications ont besoin de ne pas faire des opérations privilégiées pour un oui ou pour un non, par exemple modifier les clés de la base de registre de l’OS

Hors service par défaut avec Vista

Le plus sécurisé – Meilleur choix IT

Nouveau avec Vista – Le défaut

Le défaut pour XP

Les types d'utilisateurs Windows

• L’administrateur

– Le compte nommé ‘Administrateur’

• Un administrateur

– Votre nom avec des privilèges d’administration

• Administrateur protégé

– Votre nom avec un accès aisé aux privilèges admin

• Utilisateur Standard

– Votre nom sans privilèges admin

Administrateur protégé - Vista

• Fournit un accès commode aux privilèges administrateur

• Demande de consentement pour élever les privilèges– Passage à un bureau protégé afin d’éviter les attaques en

usurpation de la demande de consentement elle-même– Utilisation du jeton administrateur embarqué au sein du

processus pour gagner l’accès aux privilèges d’administration

Elévation de privilèges pour l'utilisateur standard – Vista

• Confirmation dite « Over the Shoulder » (OTS)• Vous fait passer dans un bureau protégé afin d’éviter les

attaques contre le dialogue de confirmation• Vous demande un mode passe pour un compte

administrateur– OTS présuppose qu’une autre

personne détient le mot de passe administrateur

– Mot de passe requis – l’utilisateur standard ne dispose pas d’un jeton administrateur au sein de son processus

Que sont ces élévations ?

• Certaines sont nécessaires– Installer ou désinstaller du logiciel– Changer le paramétrage du pare-feu– Changer l’heure et la date du système– On ne veut pas qu’un malware puisse nuire sans consentement

• Certaines ne sont pas si nécessaires– Utilisation par les applications de clés inappropriées de la base de

registre– Changement d’une time zone– Visualiser le paramétrage du système

La fatigue induite par des consentements trop nombreux…

• Les utilisateurs expriment souvent leur frustration avec les demandes de consentement UAC

• Que veut dire « trop nombreux » ?– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule

est déjà trop…– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que

cela me poserait problème si un malware faisait cela derrière mon dos ? »

• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait que certaines opérations nécessitent des privilèges

• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela soit vraiment nécessaire

Amélioration des applications au cours du temps

Windows Vista Windows 7Le système fonctionne pour un utilisateur standardTous les utilisateurs, y compris les administrateurs protégés tournent sans privilèges d’administration par défautLes administrateurs utilisent les pleins privilèges uniquement pour les taches administratives ou les applications qui en ont besoin

DéfisL’utilisateur doit fournir un consentement explicite avant d’élever ses privilègesMettre hors service UAC supprime les protections, pas seulement la demande de consentement

UAC Windows 7

Rationalise UACRéduit le nombre d’applications de l’OS et de tâches qui requièrent une élévationRefactorise les applications en éléments nécessitant une élévation/ne le nécessitant pasComportement flexible de la demande de consentement pour les administrateurs

Apport pour les utilisateurs Les utilisateurs peuvent faire davantage de choses comme un utilisateur standardLes administrateurs verront moins de demandes de consentement d’élévation par UAC

Les niveaux possibles de confirmation d’UAC

• High (Le plus sécurisé)– Demande confirmation pour toutes les actions d’élévation

• Medium High– Demande confirmation pour toutes les actions d’élévation– Le bureau sécurisé est mis hors service

• Medium– Ne demande pas de confirmation pour les binaires Windows

• Bloque toujours les élévations des binaires Windows avec des appelants de niveau d’intégrité basse (ex : navigateurs)

• Demande confirmation pour tous les binaires tiers– Le bureau sécurisé est mis hors service

• Low (le moins sécurisé)– UAC s’exécute en mode silencieux (la politique existe avec Vista)– Ne demande confirmation que pour les binaires bloqués– Ceci laisse le mode protégé d’IE en service

Réglage de l’UAC

• Panneau de configuration\Système et sécurité\Centre de maintenance

DEMONSTRATION

UAC et version bêta de Windows 7

• A partir de la RC– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut

niveau d’intégrité et requerra donc une élévation de privilèges• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de

SendKeys et des équivalents puissent fonctionner – Le changement du niveau d’UAC nécessitera un consentement explicite

Audit

Configuration simplifiée pour un TCO plus basPossibilité de démontrer pourquoi une personne a eu accès à une information spécifiquePossibilité de comprendre pourquoi une personne s’est vue refuser l’accès à une information spécifiquePossibilité de tracer tous les changements effectués par des personnes spécifiques ou des groupes

Amélioration de l’auditing

La configuration d’un auditing granulaire est complexeAuditer l’accès et les privilèges pour un groupe d’utilisateurs est problématique

Les défis

Nouveaux événements basés XMLSupport d’un auditing à grain fin des l’utilisation des privilèges d’administrationFiltrage simplifié du « bruit » pour trouver l’événement que l’on rechercheLiaison des tâches avec les événements

Windows Vista Windows 7

Les principales raisons pour auditer

• Conformité réglementaire– SOX : protéger les données financières– HIPAA : protéger les données patients/médicales– PCI : protéger les cartes de crédit/les données des clients– …

• Surveillance de la sécurité– Activité système, utilisateur et données

• Investigations/Analyses légales– Qui, Quoi, Quand, Où, Comment, Pourquoi ?

Politique d'audit• Pourquoi a-t-on besoin d’une politique d’audit ?– Quelles sont les activités/les événements qui intéressent

l’entreprise ?

• Pourquoi n’enregistre-t-on pas tout ?– Coûteux : Générer, collecter et stocker les événements– Utilisation de ressources : CPU, disque, etc.

Architectes sécurité

Conformité

Métiers

Besoins légaux

RH

…

Besoins

Administrateur

Budget

Opérations

Politique d’audit

Politique d’audit avec Windows XP

• Politique d’audit XP/Windows Server 2003– 9 catégories d’audit

ProblèmesTaille limitée du journal d’événement (300 MO)Faible granularité

Les événements de faible et de grand volume appartiennent à la même catégorie

Politique d'audit Windows Vista

Windows 2003Windows Vista

• Taille configurable du journal d’événement• Politique d’Audit Granulaires (PAG)

– 9 catégories et ~50 sous-catégories

Les limites de la politique d'audit avec Windows Vista

–PAG non intégré avec les politiques de groupe• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :

http://support.microsoft.com/kb/921469

auditpol /set /subcategory:"user account management" /success:enable /failure:enable...

auditpol /backup /file:auditpolicy.txt

xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.*

auditpol /restore /file:auditpolicy.txt

L’administrateur crée un fichier de politique

La politique est appliquée pendant le logon

Politique d'audit avec Windows 7Intégration de PAG avec les PG

• Création des politiques de groupe granulaires– Expérience de la console d’administration des politiques des groupes– Modélisation

• Déploiement– Fusion de politique pour des environnements complexes

• Politiques d’audit par domaine, site ou OU• Rapports pour conformité et diagnostics• Gestion centralisée

Les données d'audit avec Windows Vista

WinWord

Noyau

NTFS

Ouvrir Document

Ouvrir fichier

Access Control

SecurityDescriptor

Audit Module

Journal événements de sécurité

Contexte utilisateur et objet

DACL

SACL

Politique d’audit

Activités relatives aux données d'audit avec Vista – Problèmes

• Large écart entre les règles métiers et les politiques d’audit– Exemples :

• Conformité SOX : « tracer toutes les acticités du groupe administrateur sur les serveurs avec des informations financières »

• Légal : « tracer tous les fichiers accédés par des employés suspects »– Configuration

• Chaque objet (fichier, répertoire, clé de registre) dans le système a la bonne SACL

• On peut utiliser des modèles de sécurité mais :– La propagation est coûteuse– L’unité maximale de configuration est un disque ou une ruche de la base de

registre– Il est à peu près impossible de revenir en arrière

– Rapport• Pour la conformité : comment prouver qu’un activité donnée est tracée ?

Activités relatives aux données d'audit avec Windows 7 – Global Access Object Auditing

• Application d’une SACL sur un gestionnaire de ressource entier– Système de fichiers– Base de registre

WinWord

Noyau

NTFS

Ouvrir Document

Ouvrir fichier

Access Control

SecurityDescriptor

Audit Module

Journal d’évènement sécurité

Contexte utilisateur et objet

DACL

SACL

Politique d’auditSACL ressource

SACL système de fichiers

Activités relatives aux données d'audit avec Windows 7 – Global

Access Object Auditing• On ne peut passer outre sur des objets individuels– Les SACL de ressources s’appliquent à tous les objets

• Pas de besoin de propagation de SACL– La mise à exécution est dynamique

• Facile à défaire et à mettre à jour• Rapport aisé pour la conformité

Conformité SOX : « tracer toutes les activité du groupe administrateur sur les serveurs disposant d’informations financières »

Activités relatives aux données d'audit avec Windows 7 – Raison pour accéder

WinWord

Noyau

NTFS

Ouvrir Document

Ouvrir fichier

Access ControlSecurity

Descriptor

Audit Module

Journal d’évènement sécurité

Contexte utilisateur et objet

DACL

SACL

Politique d’audit SACL ressource

SACL système de fichiers

Raison d’accès

• Pierre a mis à jour jan2009_sales.xls– Comment en a-t-il obtenu la permission ???

Activités relatives aux données d'audit avec Windows 7 – Raison pour accéder

A handle to an object was requested.

Subject:Security ID: CONTOSO-DEMO\PierreAccount Name: PeteAccount Domain: CONTOSO-DEMOLogon ID: 0x352af

Object:Object Server: SecurityObject Type: FileObject Name: C:\Sales\jan2009_sales.xlsHandle ID: 0x120

Process Information:Process ID: 0x1a7cProcess Name: C:\Program Files (x86)\Microsoft Office\Office12\excel.exe

Access Request Information:Transaction ID: {00000000-0000-0000-0000-000000000000}Accesses: READ_CONTROL

SYNCHRONIZEReadData (or ListDirectory)WriteData (or AddFile)AppendData (or AddSubdirectory or CreatePipeInstance)ReadEAWriteEAReadAttributesWriteAttributes

Access Reasons: READ_CONTROL: Granted by OwnershipSYNCHRONIZE: Granted by D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)ReadData (or ListDirectory): Granted by D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)WriteData (or AddFile): Granted by D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)AppendData (or AddSubdirectory or CreatePipeInstance): Granted by D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)ReadEA: Granted by D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)WriteEA: Granted by D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)ReadAttributes: Granted by D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)WriteAttributes: Granted by D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)

Requête d’accès dans un événement Open Handle avant Windows 7

Raisons d’accès événement Open Handle Windows 7

Sécurité réseau DirectAccessTM

Assurer que seules les machines en « bonne santé » peuvent accéder aux données de l’entreprise

Permettre aux machines « en mauvaise santé » de se « réparer » avant d’avoir accès

Network Access Protection

Connexion sécurisée, sans couture et toujours disponible au réseau d’entreprise

Amélioration de la gestion des utilisateurs distants

Sécurité cohérente pour tous les scénarios d’accès

Sécuriser les accès depuis n’importe où

Segmentation du réseau fondée sur des politiques pour des réseaux plus sécurisés et isolés logiquement

Différents profils de pare-feu actifs

Support de DNSSEC

Audit de l’Accès Global aux Fichiers

• Audit de l’Accès GlobalPossibilité de déterminer quels sont les fichiers consultés par un groupe d’utilisateurs sur l’ensemble du SI.

Amélioration de l’auditing

DEMONSTRATION

Introduction au pare-feu Windows

Panneau de contrôle du pare-feu Windows• Configuration destinée à l’utilisateur final• Permet une gestion facile

Profils des emplacements réseau et du pare-feu• Public : Hot Spots publics tels que les aéroports ou les cafés• Maison ou Bureau (Privé) : Réseau d’une petite entreprise

ou à la maison• Domaine : Détecté automatiquement

• Seul un profil est actif à un instant donné

• Plusieurs réseaux : le profil le plus sécurisé est appliqué (le plus restrictif)

Plusieurs profils de pare-feu actifs

•Plusieurs profils actifs en même temps

Paneau de contrôle pare-feu VistaPanneau de contrôle pare-feu Windows 7

En résumé

• Vista : Un seul profil de pare-feu actif– Règles obligatoires en fonction de l’emplacement réseau le plus

restrictif– Contournement administrateur encombrant pour les scénarios VPN

• Windows 7 : Plusieurs profils de pare-feu actifs– Règles obligatoires en fonction des emplacements réseau respectifs– Résout les difficultés de déploiement lors de scénario VPN

Amélioration quand on est connecté à un seul ou à pluisieurs réseauxL’IHM ne liste que les paramétrages du profil courant

Vista : Page des programmes autorisés Windows 7 : Page des programmes autorisés

Vista : Paramétrage du pare-feuWindows 7 : Paramétrage du pare-feu

Windows 7 :

L’utilisateur peut autoriser les programmes pour tous les réseaux et éviter ainsi les demandes de consentement

Vista :

Seul le profil courant est affiché

Notification applicative

Nouveaux liens vers : Advanced settings and Troubleshoot network

Restauration du paramétragepar défaut

Troubleshooting

Windows 7 : Liens additionnels

Windows Firewall with Advanced Security (WFAS)

• Accédé à travers– Le bouton Advanced settings dans le panneau de contrôle du

pare-feu– MMC=> Snap-in Add Windows Firewall with Advanced Security

• Configurer le pare-feu en utilisant WFAS :– En local– Ordinateurs distants– Politique de groupe (GPO)

• Supporte plusieurs profils actifs de pare-feu• Supporte des règles granulaires (en entrée et en sortie)

Règles du pare-feu – ordre de précédance

• Evitement authentifié• Bloquer• Autoriser• Action par défaut

• Action par défaut en entrant – bloque pour tous les profils

• Action par défaut en sortant – autorisé pour tous les profils

Ordre d’évaluation

Page d'accueil WFAS– Gestion intégrée du pare-feu et des politiques de sécurité des

connexions (IPsec)– Affiche quels profils et leurs réseaux associés sont actifs

Filtrage sortant WFAS – Peut être mis en service

Support WFAS pour les exceptions utilisateur et ordinateur

• Ajoute la possibilité de dénier l’accès des utilisateurs ou des ordinateurs (et les security principals) aux applications à travers les règles du pare-feu

Configuration WFAS pour les plages de ports

• Maintenant support des plages de ports dans les règles du pare-feu• Vista et Windows Server 2008 ne supportaient qu’une liste de ports

séparés par des virgules

Page de surveillance WFAS

– Le mode de surveillance affiche l’état courant du pare-feu et les règles actives à n’importe quel instant

Coexistence avec un pare-feu tiers

• Permet aux applications tierces de prendre le contrôle et de gérer des portions du pare-feu Windows– Politique du pare-feu– Politique IPsec– Politique au moment de l’amorçage– Renforcement des services Windows

• Nouvelles API publiques pour les fournisseurs de pare-feu

Les logs opérationnels

Pare-feu : Ouvrir event viewer Applications and Services LogsMicrosoftWindowsWindows Firewall with Advanced Security FirewallSécurité des connexions : Open event viewer Applications and Services LogsMicrosoftWindowsWindows Firewall with Advanced Security ConectionSecurity

Au-delà des Frontières de l’Entreprise

• Sécurité Réseau• NAP• Direct Access

Qu’est-ce que Direct Access ?

• Une solution complète d’accès depuis n’importe quel lieu disponible au sein de Windows 7 et Windows Server 2008 R2– Fournit une connectivité sans couture, toujours disponible et sécurisée aux

utilisateurs au sein de l’entreprise comme aux utilisateurs distants– Elimine le besoin de se connecter de manière explicite au réseau corporate

quand on est à distance– Facilite une communication et une collaboration sécurisée, de bout en bout– Tire parti d’une approche d’accès au réseau fondée sur des politiques– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,

qu’ils soient à l’intérieur ou à l’extérieur du réseau

Serveur de prévention des DoS(Futur : UAG)

Client conforme

Client conforme

IPsec/IPv6

Data Center et ressources critiques

Serveurs NAP / NPS

Internet

Utilisateur ENTREPRISE

Réseau ENTREPRISE conforme

Utilisateur ENTREPRISE

IPsec/IPv6

IPsec/IPv6

Présuppose que le réseau sous-jacent est toujours non sécurisé

Redéfinit la frontière du réseau ENTREPRISE pour isoler les Datacenter et les ressources métier critiques

Direct Access

Tunnel au-dessus de IPv4 UDP, TLS, etc.

Les bénéfices de Direct Access

• Apporter le réseau de l’entreprise à l’utilisateur

Accès permanent au réseau de l’entreprise alors qu’on est en déplacementPas d’action explicite de l’utilisateur – « it just works »Même expérience utilisateur au sein des murs de l’entreprise et en dehors

Gestion à distance simplifiée des ressources mobiles comme si elles étaient sur le LANMeilleurs coûts de possession total (TCO) avec une infrastructure « toujours gérée »Accès sécurisé unifié pour tous les scénarios et tous les réseauxAdministration intégrée de tous les mécanismes de connexion

Plus de productivité Plus de sécurité Plus facile à gérer à meilleur coût

Terminal en bonne santé et digne de confiance quel que soit le réseauContrôle à « grain fin » des politiques par application et serveursPolitique de contrôle plus riche et proche du terminal à gérerPossibilité d’étendre la conformité réglementaire aux PC en mouvement permanentChemin de déploiement incrémental vers IPv6

AppLockerTM Récupération des données

Protège les utilisateurs contre l’ingénierie sociale et les attaques de la vie privés

Protèges les utilisateurs contre les exploits navigateurs

Protège les utilisateurs contre les exploits serveur

Internet Explorer 8

Sauvegarde et restauration de fichiersSauvegarde image CompletePC™Restauration systèmeCopies miroirs de volumesRetour en arrière sur volume

Protéger les utilisateur et l’infrastructure

Permet la standardisation des applications au sein de l’entreprise sans augmenter le TCO

Améliore la sécurité pour protéger contre les pertes de données et de vie privée

Supporte la mise en vigueur de la conformité

Application Locker

Élimination des applications inconnues/indésirables du réseauRenforce la standardisation des applications dans toute l'entrepriseCréation et administration simples de règles via la stratégie de groupe

DEMONSTRATION

Protéger des données des utilisateurs non autorisés

• RMS• EFS• Bitlocker

Bitlocker

• Vista– Cryptage d’un volume

• Vista SP1– Cryptage de plusieurs volumes

• Seven– Cryptage de plusieurs volumes– Cryptage de supports amovibles– « BitLocker to Go »

+Protection des données sur les disques internes et amoviblesObligation du chiffrement via les stratégies de groupeStockage des informations de récupération dans Active DirectorySimplification de la mise en œuvre de BitLocker et de la configuration du disque dur principal

DEMONSTRATION

Gestion du Poste de Travail

• Intégration avec Windows Server 2008• Le PowerShell• Journaux• PSR – Enregistrement d’Actions Utilisateurs

DEMONSTRATION

Intégration avec Windows Server 2008

DEMONSTRATION

Le PowerShell

DEMONSTRATION

Les Outils de Diagnostic

DEMONSTRATION

Le Support