Nouveautés de sécurité de Windows Vista
Nouveautés de sécurité de Windows Vista
Pascal SauliereCyril Voisin
Microsoft France
Sommaire
FondamentauxFondamentaux
Atténuation des menaces et des Atténuation des menaces et des vulnérabilitésvulnérabilités
Gestion de l’identité et de l’accèsGestion de l’identité et de l’accès
Avertissement
Les démonstrations et informations Les démonstrations et informations données dans cette présentation, se données dans cette présentation, se basent sur une version préliminaire basent sur une version préliminaire de Windows Vista (pré-bêta 2), les de Windows Vista (pré-bêta 2), les informations présentées peuvent informations présentées peuvent être soumises à changement et ce être soumises à changement et ce jusqu’à la mise à disposition jusqu’à la mise à disposition commerciale du logiciel en version commerciale du logiciel en version finale.finale.© 2006 Microsoft Corporation. Tous droits réservés.© 2006 Microsoft Corporation. Tous droits réservés.
Windows VistaFondamentaux
Système développé dans le cadre du Security Système développé dans le cadre du Security Development LifecycleDevelopment Lifecycle
Intégrité du code pour protéger les fichiers de Intégrité du code pour protéger les fichiers de l’OS (Code Integrity)l’OS (Code Integrity)Réduction des redémarrages et facilité Réduction des redémarrages et facilité d’obtention d’un statut sur la sécurité d’obtention d’un statut sur la sécurité
Agent d’analyse de la sécurité unique (Windows Agent d’analyse de la sécurité unique (Windows Update Agent)Update Agent)API Restart Manager API Restart Manager Amélioration du Centre de sécuritéAmélioration du Centre de sécurité
Contrôle de l’installation des périphériques Contrôle de l’installation des périphériques amoviblesamovibles
Démonstration
Démonstration
Centre de sécuritéWindows Update
Démonstration
Démonstration
Gestion des périphériques
amovibles
Protéger contre les logiciels malveillants (Protéger contre les logiciels malveillants (malware)malware) et et les intrusionsles intrusions
IsolationIsolationPréventionPrévention RétablissementRétablissement
Limiter l’impact à Limiter l’impact à travers l’isolationtravers l’isolation
Revenir à un état Revenir à un état connuconnu
Stopper les attaques Stopper les attaques connues et connues et inconnuesinconnues
Anti-spyware (Windows Anti-spyware (Windows Defender)Defender)Anti-spamAnti-spamAnti-phishingAnti-phishing
Pare-feu personnelPare-feu personnelIPSecIPSecUser Account ControlUser Account ControlAméliorations d’IEAméliorations d’IERenforcement des services Renforcement des services WindowsWindowsNetwork Access ProtectionNetwork Access Protection
Restauration du système Restauration du système (System Restore)(System Restore)Malicious Software Removal Malicious Software Removal ToolToolIntellimirrorIntellimirror®®
Atténuation des menaces et des vulnérabilités
Démonstration
Démonstration
Windows Defender
Démonstration
Démonstration
UAC (User Account Control)
Démonstration
Démonstration
Filtre antiphishing d’Internet Explorer
Démonstration
Démonstration
Pare-feu (filtrage sortant, règle IPsec)
Démonstration
Démonstration
Windows Service Hardening
Gestion de la Gestion de la politique d’accèspolitique d’accès
Identité digne Identité digne de confiancede confiance
Protection de Protection de l’Informationl’Information
Fournir l’accès en Fournir l’accès en fonction de la fonction de la
politique de sécuritépolitique de sécurité
Protéger les données Protéger les données au long du cycle de au long du cycle de
vievie
Assurer que les Assurer que les utilisateurs sont bien utilisateurs sont bien ce qu’ils disent être ; ce qu’ils disent être ; gestion du cycle de gestion du cycle de
vie de l’identitévie de l’identité
Authentification forte (carte Authentification forte (carte à puce, etc.)à puce, etc.)Services de certificats Services de certificats (PKI)(PKI)
Role-based Access ControlRole-based Access ControlGroup Policy Management Group Policy Management ConsoleConsoleAmélioration de l’auditAmélioration de l’auditContrôle parentalContrôle parental
Rights Management ServicesRights Management ServicesServices de chiffrementServices de chiffrementProtocoles et canaux Protocoles et canaux sécuriséssécurisésServices de sauvegarde et de Services de sauvegarde et de récupérationrécupérationBitlocker Drive EncryptionBitlocker Drive Encryption
Permet uniquement aux utilisateurs légitimes un accès sécurisé et Permet uniquement aux utilisateurs légitimes un accès sécurisé et basé sur une politique de sécurité aux machines, applications et basé sur une politique de sécurité aux machines, applications et
donnéesdonnées
Gestion de l’identité et de l’accès
Démonstration
Démonstration
Contrôle parental
Démonstration
Démonstration
Bitlocker Drive Encryption
Compléments
CD Vista SécuritéCD Vista SécuritéPrésentation complètePrésentation complète
23 démonstrations enregistrées23 démonstrations enregistrées
……
Annexe de cette présentation (150 Annexe de cette présentation (150 diapositives), téléchargeable en lignediapositives), téléchargeable en ligne
Microsoft FranceMicrosoft France18, avenue du Québec18, avenue du Québec
91 957 Courtaboeuf Cedex91 957 Courtaboeuf Cedex
www.microsoft.com/france
0 825 827 8290 825 827 829
[email protected]@microsoft.com
AnnexeAnnexe
Préambule
Cette présentation a pour but :Cette présentation a pour but :
de vous faire découvrir ce que vous de vous faire découvrir ce que vous pourrez faire en matière de sécurité pourrez faire en matière de sécurité avec Windows Vistaavec Windows Vista
de vous exposer certains éléments du de vous exposer certains éléments du fonctionnement interne de cette fonctionnement interne de cette nouvelle version majeure de Windows nouvelle version majeure de Windows (ce qui a été fait pour rendre son (ce qui a été fait pour rendre son utilisation plus sécurisée)utilisation plus sécurisée)
Sommaire
Introduction et contexteIntroduction et contexteL’initiative pour l’informatique de confianceL’initiative pour l’informatique de confianceLa vision de Microsoft de la sécuritéLa vision de Microsoft de la sécuritéLes axes de focalisationLes axes de focalisationLes investissements technologiquesLes investissements technologiques
Les fondamentaux dans Windows VistaLes fondamentaux dans Windows VistaL’atténuation des menaces et des L’atténuation des menaces et des vulnérabilitésvulnérabilitésLa gestion des identités et des accèsLa gestion des identités et des accèsSynthèse Synthèse
Excellence de l’ingénierie, Protection Excellence de l’ingénierie, Protection fondamentale, Accès sécurisé, Contrôle intégréfondamentale, Accès sécurisé, Contrôle intégré
Stratégie de sécurité de Microsoft
Initiative pour l’informatique de confianceInitiative pour l’informatique de confianceSécurité, respect de la vie privée, fiabilité, Sécurité, respect de la vie privée, fiabilité, intégrité commercialeintégrité commerciale
La vision de Microsoft de la sécurité La vision de Microsoft de la sécurité Etablir la CONFIANCE en l’informatique afin de Etablir la CONFIANCE en l’informatique afin de permettre la réalisation du plein potentiel d’un permettre la réalisation du plein potentiel d’un monde interconnecté monde interconnecté
Les axes de focalisationLes axes de focalisationInvestissements technologiquesInvestissements technologiques
FondamentauxFondamentauxAtténuation des menaces et des vulnérabilitésAtténuation des menaces et des vulnérabilitésContrôle d’accès et d’identitéContrôle d’accès et d’identité
Conseils prescriptifsConseils prescriptifsPartenariatsPartenariats
Fondamentaux
Security Development Security Development LifecycleLifecycleSecurity Response CenterSecurity Response Center
Intégrité du code pour Intégrité du code pour protéger les fichiers de l’OSprotéger les fichiers de l’OSRéduction des redémarrages Réduction des redémarrages et facilité d’obtention d’un et facilité d’obtention d’un statut sur la sécuritéstatut sur la sécurité
Agent d’analyse de la sécurité Agent d’analyse de la sécurité unique (Windows Update Agent)unique (Windows Update Agent)Restart ManagerRestart Manager
Amélioration du Centre de Amélioration du Centre de sécuritésécuritéContrôle de l’installation des Contrôle de l’installation des périphériques amoviblespériphériques amovibles
Excellence de l’ingénierieProcessus de développement de Windows Vista
Processus amélioré de Processus amélioré de Security Development Security Development LifecycleLifecycle (SDL) pour Windows Vista (SDL) pour Windows Vista
Formation périodique obligatoire à la sécuritéFormation périodique obligatoire à la sécurité
Assignation de conseillers en sécurité pour tous Assignation de conseillers en sécurité pour tous les composantsles composants
Modélisation des menaces intégré à la phase de Modélisation des menaces intégré à la phase de conceptionconception
Revues de sécurité et tests de sécurité inclus dans Revues de sécurité et tests de sécurité inclus dans le planningle planning
Mesures de la sécurité pour les équipes produitMesures de la sécurité pour les équipes produit
Certification Critères Communs (CC)Certification Critères Communs (CC)
Code Integrity
Code IntegrityCode Integrity protège les fichiers du protège les fichiers du système d’exploitation lorsque celui-ci système d’exploitation lorsque celui-ci est en cours d’exécutionest en cours d’exécution
Signature de tous les exécutables et DLL du Signature de tous les exécutables et DLL du système d’exploitationsystème d’exploitationVérification de la validité des signatures lors Vérification de la validité des signatures lors du chargement en mémoiredu chargement en mémoire
Le but est ici de s’assurer qu’un logiciel Le but est ici de s’assurer qu’un logiciel malveillant ne remplace pas un fichier malveillant ne remplace pas un fichier du système d’exploitation ou n’injecte du système d’exploitation ou n’injecte pas un pilote non signé afin de pas un pilote non signé afin de compromettre une partie du système compromettre une partie du système d’exploitationd’exploitation
Code Integrity
Binaires vérifiés (hash vérifié):Binaires vérifiés (hash vérifié):Ceux chargés en mode noyau (tout le binaire)Ceux chargés en mode noyau (tout le binaire)Ceux chargé dans un processus protégé - un seul : Media Ceux chargé dans un processus protégé - un seul : Media Foundation PMP (par page)Foundation PMP (par page)Les DLL installées par le système qui implémentent des Les DLL installées par le système qui implémentent des fonctions cryptographiques (par page)fonctions cryptographiques (par page)
En cas d’échec de la vérificationEn cas d’échec de la vérificationComportement dicté par la politique CIComportement dicté par la politique CISystem Recovery gère les échecs pour les fichiers System Recovery gère les échecs pour les fichiers nécessaires au bootnécessaires au bootSi échec de vérification d’une page en mode utilisateur, Si échec de vérification d’une page en mode utilisateur, exception levée qui résulte souvent en l’échec de exception levée qui résulte souvent en l’échec de l’applicationl’applicationEnregistrement d’événements dans Enregistrement d’événements dans Event Viewer / Application Logs / Microsoft / Event Viewer / Application Logs / Microsoft / Windows / CodeIntegrityWindows / CodeIntegrity
Rendre plus facile la gestion des correctifs
Moins de correctifs, Moins de correctifs, plus petite tailleplus petite taille
Outil commun Outil commun d’analysed’analyse
Application directe des Application directe des correctifs à une imagecorrectifs à une image
Moins de redémarragesMoins de redémarrages
Mise à jour automatique pour Mise à jour automatique pour tout tout
Expérience avec les mises à Expérience avec les mises à jour : cohérence et fiabilitéjour : cohérence et fiabilité
Moins d’interruption de l’utilisateur
Moins de temps nécessaire pour les administrateurs
Restart Manager
Nouvelle API pour diminuer le nombre Nouvelle API pour diminuer le nombre de redémarrages liés à l’application de de redémarrages liés à l’application de correctifs de sécuritécorrectifs de sécuritéExemple : les applications Office12 Exemple : les applications Office12 tirent parti des API de notifications tirent parti des API de notifications d’arrêt et de redémarraged’arrêt et de redémarrage
permet la récupération de l’état et du permet la récupération de l’état et du document après un redémarrage applicatifdocument après un redémarrage applicatif
ShutdownAPI
Sauvegarde du fichier de travail, des états
Fermeture de l’application
Restart API
Redémarrage de l’application
Reprend le fichier de travail, les états
Gouverner l’usage des périphériques
Ajouter la prise en charge de périphériques Ajouter la prise en charge de périphériques et autoriser ou interdire leur installationet autoriser ou interdire leur installation
Les pilotes approuvés par le service informatique Les pilotes approuvés par le service informatique peuvent être ajoutés dans le peuvent être ajoutés dans le Trusted Driver StoreTrusted Driver Store ((stagingstaging) )
Les Les Driver Store PoliciesDriver Store Policies (stratégies de groupe) (stratégies de groupe) déterminent le comportement pour les déterminent le comportement pour les packagespackages de pilote qui ne sont pas dans le de pilote qui ne sont pas dans le Driver StoreDriver Store. Par . Par exemple :exemple :
Pilotes qui ne sont pas aux standards de l’entreprisePilotes qui ne sont pas aux standards de l’entreprise
Pilotes non signésPilotes non signés
Ces stratégies sont désactivées par défaut en Ces stratégies sont désactivées par défaut en raison des risques inhérents aux pilotes raison des risques inhérents aux pilotes arbitrairesarbitraires
Driver Store
Le Le Driver StoreDriver Store est un entrepôt de confiance sur est un entrepôt de confiance sur chaque machine clientechaque machine cliente
Une fois qu’un pilote est ajouté au Une fois qu’un pilote est ajouté au Driver StoreDriver Store par par un administrateur, il peut être installé quelles que un administrateur, il peut être installé quelles que soient les permissions de l’utilisateur qui a ouvert soient les permissions de l’utilisateur qui a ouvert une sessionune session
AjoutAjout InstallationInstallation
Nécessite les privilèges d’administrateur (ou configuration)
Indépendant des permissions
(si déjà ajouté)
Driver Package Integrity
Changements dans l’implémentation de la Changements dans l’implémentation de la signature des pilotessignature des pilotesLes administrateurs doivent être en mesure Les administrateurs doivent être en mesure de savoir :de savoir :
Qui a publié un package d’installation de Qui a publié un package d’installation de pilotepiloteQue le package d’installation de pilote n’a Que le package d’installation de pilote n’a pas été altéré depuis qu’il a été publiépas été altéré depuis qu’il a été publié
Les administrateurs peuvent finalement Les administrateurs peuvent finalement signer les pilotes, et définir une politique signer les pilotes, et définir une politique pour faire confiance à ce qu’ils ont signépour faire confiance à ce qu’ils ont signéLes pilotes signés par un éditeur de Les pilotes signés par un éditeur de confiance peuvent être installés par les confiance peuvent être installés par les utilisateurs standardsutilisateurs standards
Stratégie de groupeInstallation de périphériques
Protéger contre les logiciels malveillants (Protéger contre les logiciels malveillants (malware)malware) et et les intrusionsles intrusions
IsolationIsolationPréventionPrévention RétablissementRétablissement
Limiter l’impact à Limiter l’impact à travers l’isolationtravers l’isolation
Revenir à un état Revenir à un état connuconnu
Stopper les attaques Stopper les attaques connues et connues et inconnuesinconnues
Anti-spyware (Windows Anti-spyware (Windows Defender)Defender)Anti-spamAnti-spamAnti-phishingAnti-phishing
Pare-feu personnelPare-feu personnelIPSecIPSecUser Account ControlUser Account ControlAméliorations d’IEAméliorations d’IERenforcement des services Renforcement des services WindowsWindowsNetwork Access ProtectionNetwork Access Protection
Restauration du système Restauration du système (System Restore)(System Restore)Malicious Software Removal Malicious Software Removal ToolToolIntellimirrorIntellimirror®®
Atténuation des menaces et des vulnérabilités
Fonctions intégrées anti-malware
Windows DefenderWindows DefenderFonctions intégrées de détection, nettoyage, et Fonctions intégrées de détection, nettoyage, et blocage en temps réel des spywares (dont blocage en temps réel des spywares (dont intégration avec Internet Explorer pour fournir intégration avec Internet Explorer pour fournir une analyse antispyware avant téléchargement)une analyse antispyware avant téléchargement)
9 agents de surveillance9 agents de surveillanceSystème de scan rapide intelligentSystème de scan rapide intelligent
Ciblé pour les consommateurs (pas de fonctions Ciblé pour les consommateurs (pas de fonctions de gestion en entreprise)de gestion en entreprise)
La gestion en entreprise est possible avec le produit La gestion en entreprise est possible avec le produit payant séparé Microsoft Client Protectionpayant séparé Microsoft Client Protection
MSRT (MSRT (Microsoft Malicious Software Microsoft Malicious Software Removal ToolRemoval Tool) intégré permet de supprimer ) intégré permet de supprimer virus, bots, et chevaux de Troie pendant virus, bots, et chevaux de Troie pendant une mise à jour et sur une base mensuelleune mise à jour et sur une base mensuelle
Windows Firewall with Advanced Security
Gestion combinée d’IPsec et du pare-feuGestion combinée d’IPsec et du pare-feuNouvelle MMC (Nouvelle MMC (Windows Firewall with Windows Firewall with Advanced SecurityAdvanced Security))
Nouvelles commandes en ligne (Nouvelles commandes en ligne (netsh netsh advfirewalladvfirewall))
Politique de protection simplifiéePolitique de protection simplifiéeRéduit de manière spectaculaire le nombre Réduit de manière spectaculaire le nombre d’exemptions IPsec nécessaires dans un d’exemptions IPsec nécessaires dans un déploiement de grande ampleurdéploiement de grande ampleur
Gestion à distanceGestion à distance
Modèle d’administration
Windows XP SP2/Windows 2003 SP1:Windows XP SP2/Windows 2003 SP1:Bloque par défaut les connexions entrantes non Bloque par défaut les connexions entrantes non sollicitéessollicitéesLes exceptions autorisent des ports ou des Les exceptions autorisent des ports ou des programmes, pour certaines adresses sources ou programmes, pour certaines adresses sources ou sous-réseausous-réseau
Windows Vista/Windows Server “Longhorn”:Windows Vista/Windows Server “Longhorn”:Les règles de pare-feu deviennent plus Les règles de pare-feu deviennent plus intelligentes:intelligentes:
Spécification de groupes d’utilisateurs ou de machines Spécification de groupes d’utilisateurs ou de machines Active DirectoryActive DirectorySpécification de prérequis de sécurité comme Spécification de prérequis de sécurité comme l’authentification ou le chiffrementl’authentification ou le chiffrement
Isolation de domaine et de serveur
Segmentation Segmentation dynamique de dynamique de
votre votre environnement environnement
WindowsWindows®® en des en des réseaux plus réseaux plus
sécuriséssécurisés et et isolés isolés logiquementlogiquement, , d’après une d’après une
politiquepolitique
LabosLabosInvités non Invités non gérésgérés
Isolation de Isolation de serveurserveur
Protéger des serveurs et des données Protéger des serveurs et des données spécifiques de grande valeurspécifiques de grande valeur
Isolation de Isolation de domainedomaine
Protéger des machines gérées des machines Protéger des machines gérées des machines non gérées ou des intrus (machines ou non gérées ou des intrus (machines ou utilisateurs)utilisateurs)
Segmentation dynamique basée sur une politique
DéfianceDéfiance
Ordinateur non géré ou intrus
Isolation de domaine
Contrôleur de domaine Active Directory
X
Isolation de serveur
Serveurs avec des données
sensibles
Poste de travail RH
Ordinateur géré
X
Ordinateur géré
Serveur de ressources de
confiance
Réseau d’entreprise
Définition des frontières de l’isolation logiqueDistribution des politiques et lettres de créanceLes ordinateurs gérés peuvent communiquerBlocage des connexions entrantes depuis
des machines non géréesAccès compartimenté aux ressources sensibles
Fonctionnalités du pare-feu avancé
Filtrage entrant et sortant avec tables d’état Filtrage entrant et sortant avec tables d’état pour IPv4 et IPv6pour IPv4 et IPv6
Règles par défaut configurables : Règles par défaut configurables : Par défaut les flux entrants sont bloquésPar défaut les flux entrants sont bloquésPar défaut les flux sortants sont autorisésPar défaut les flux sortants sont autorisés
ICMPv4 et ICMPv6ICMPv4 et ICMPv6Filtrage de protocoles IP personnalisésFiltrage de protocoles IP personnalisés
Règles pour les programmes en utilisant le Règles pour les programmes en utilisant le chemin ou le nom de servicechemin ou le nom de serviceSupport des types d’interface (RAS, LAN, Wi-Support des types d’interface (RAS, LAN, Wi-Fi)Fi)Possibilité de contournement administratif Possibilité de contournement administratif du pare-feudu pare-feu
Fonctionnalités du pare-feu avancé
Granularité de la politique de sécurité réseau Granularité de la politique de sécurité réseau de l’hôtede l’hôte
Autoriser, Bloquer, autoriser si politiques Autoriser, Bloquer, autoriser si politiques sécuriséessécuriséesExceptions sur les utilisateursExceptions sur les utilisateursExceptions sur les groupesExceptions sur les groupes
Profils de politique selon la positionProfils de politique selon la positionProfil de domaine et profil standardProfil de domaine et profil standardLa connectivité au domaine est authentifiéeLa connectivité au domaine est authentifiée
Nouveaux algorithmes cryptographiquesNouveaux algorithmes cryptographiquesChiffrement : AES-128, AES-192, AES-256Chiffrement : AES-128, AES-192, AES-256Échange de clés : ECDH P-256, ECDH P-384 Échange de clés : ECDH P-256, ECDH P-384
Restrictions sur les services (filtrage basé sur Restrictions sur les services (filtrage basé sur les SID de services)les SID de services)
Network Access Protection
La surcouche santé des réseauxLa surcouche santé des réseauxAperçu de NAPAperçu de NAP
Validation vis à vis de la politiqueValidation vis à vis de la politiqueDétermine si oui ou non les machines sont conformes avec Détermine si oui ou non les machines sont conformes avec la politique de sécurité de l’entreprise. Les machines la politique de sécurité de l’entreprise. Les machines conformes sont dites “saines” (ou « en bonne santé »)conformes sont dites “saines” (ou « en bonne santé »)
Restriction réseauRestriction réseauRestreint l’accès au réseau selon l’état de santé des Restreint l’accès au réseau selon l’état de santé des machinesmachines
Mise à niveauMise à niveauFournit les mises à jour nécessaires pour permettre à la Fournit les mises à jour nécessaires pour permettre à la machine de devenir “saine”. Une fois “en bonne santé”, les machine de devenir “saine”. Une fois “en bonne santé”, les restrictions réseau sont levéesrestrictions réseau sont levées
Maintien de la conformitéMaintien de la conformitéLes changements de la politique de sécurité de l’entreprise Les changements de la politique de sécurité de l’entreprise ou de l’état de santé des machines peuvent résulter ou de l’état de santé des machines peuvent résulter dynamiquement en des restrictions réseaudynamiquement en des restrictions réseau
Demande d’accès ?Voici mon nouveau status
Est ce que le client doit être restreint en fonction de son status?
En accord avec la politique, le client n’est pas à jour. Mise en quarantaine et demande au client de se mettre à jour
Puis je avoir accès ?Voici mon status actuel
En accord avec la politique, le client est à jourAccès autorisé
NAP : principe de fonctionnement
IAS PolicyServer
Client Network Access Device
(DHCP, VPN)
Remediation Servers
(antivirus, système de maj de correctifs…)
Mise à jour du serveur IAS avec les politiques
en cours
Vous avez droit à un accès restreint tant que vous n’êtes pas à jour
Puis je avoir les mises à jour ?
Les voici
Réseau de l’entreprise
Réseau restreint (quarantaine)
Le Client obtient l’accès complet à l’Intranet
System Health Servers
(défini les pré requis du client)
SSystem ystem HHealth ealth VValidatorsalidatorsMicrosoft et 3Microsoft et 3rdrd Parties Parties
QQuarantine uarantine SServererver
SSystem ystem HHealth ealth AAgentsgentsMicrosoft et 3Microsoft et 3rdrd Parties Parties(AV/Patch/FW/Other)(AV/Patch/FW/Other)
QQuarantine uarantine AAgentgent
QQuarantine uarantine EEnforcement nforcement CClientlientMicrosoft et 3Microsoft et 3rdrd Parties Parties
DHCP/VPN/IPsec/802.1xDHCP/VPN/IPsec/802.1x
Les menaces
Blaster : utilisait RPCSS pour écrire Blaster : utilisait RPCSS pour écrire msblast.exe sur le disque et ajouter msblast.exe sur le disque et ajouter quelques clés Run dans le registrequelques clés Run dans le registreAutres exemples : Sasser (LSASS), Code Autres exemples : Sasser (LSASS), Code Red (IIS), Slammer (SQL)Red (IIS), Slammer (SQL)Des vulnérabilités dans les services ont Des vulnérabilités dans les services ont existé et d’autres seront découvertesexisté et d’autres seront découvertesLes services sont des cibles attractives Les services sont des cibles attractives pour les logiciels malveillants :pour les logiciels malveillants :
Pas d’interaction avec l’utilisateurPas d’interaction avec l’utilisateurUn bon nombre s’exécutent en tant que Un bon nombre s’exécutent en tant que LocalSystem (tous les droits sur le système…)LocalSystem (tous les droits sur le système…)
Réduire la taille des Réduire la taille des couches à haut risquecouches à haut risque
Admin
Services
DDDDDD
Utilisateur
Noyau
DD Pilotes en mode noyau
Service 1
Service 2
Service 3
Service …
Service …
Services restreints
Programmes avec droits restreints
DD DDDD
Segmenter les Segmenter les servicesservices
Augmenter le Augmenter le nombre de nombre de couchescouches
Service A
Service B
Renforcement des services WindowsDéfense en profondeur (refactorisation, création de profils)
DD Pilotes en mode utilisateur
Durcissement des services WindowsDéfense en profondeur
Établissement d’un profil pour Établissement d’un profil pour les services Windows indiquant les services Windows indiquant les actions autorisées pour le les actions autorisées pour le réseau, le système de fichiers réseau, le système de fichiers et le registreet le registre
Conçu pour bloquer les Conçu pour bloquer les tentatives de détournement tentatives de détournement d’un service Windows pour d’un service Windows pour écrire à un endroit qui ne fait écrire à un endroit qui ne fait pas partie du profil du servicepas partie du profil du service
Réduit le risque de propagation Réduit le risque de propagation d’un logiciel malveillantd’un logiciel malveillant
Durcissement de servicesDurcissement de services
Système de fichiers
Registre
Réseau
ImplémentationPrincipe de moindre privilège
RefactoringRefactoringPasser de LocalSystem à un compte moins Passer de LocalSystem à un compte moins privilégiéprivilégié
Si nécessaire, séparer la partie qui nécessite Si nécessaire, séparer la partie qui nécessite LocalSystemLocalSystem
ProfilingProfiling : services restreints : services restreintsPermissions explicites par service: registre, fichiersPermissions explicites par service: registre, fichiers
Règles réseauRègles réseau
Rend possible l’utilisation des comptes Rend possible l’utilisation des comptes LocalService et NetworkService et les permissions LocalService et NetworkService et les permissions supplémentaires si besoinsupplémentaires si besoin
Services restreints
Service restreint :Service restreint :Privilèges nécessairesPrivilèges nécessairesRègles réseauRègles réseau
Le SCM, au démarrage du service :Le SCM, au démarrage du service :Calcule le SID du service :Calcule le SID du service :
S-1-80-{SHA-1 du nom du service}S-1-80-{SHA-1 du nom du service}
Crée un jeton restreint (par le SID de service) et Crée un jeton restreint (par le SID de service) et ne contenant que les privilèges nécessairesne contenant que les privilèges nécessaires
Permissions explicites sur le SID du Permissions explicites sur le SID du service : registre, fichiersservice : registre, fichiersRend possible l’utilisation des comptes Rend possible l’utilisation des comptes LocalServiceLocalService et et NetworkServiceNetworkService et les et les permissions supplémentaires si besoinpermissions supplémentaires si besoin
Points douloureux
Virus et spywaresVirus et spywaresLes virus et spywares peuvent endommager plus le Les virus et spywares peuvent endommager plus le système s’ils s’exécutent avec des privilèges élevéssystème s’ils s’exécutent avec des privilèges élevésEn entreprise, les utilisateurs ayant des privilèges En entreprise, les utilisateurs ayant des privilèges élevés peuvent compromettre l’ensemble du SIélevés peuvent compromettre l’ensemble du SI
Des applications nécessitent des privilèges Des applications nécessitent des privilèges élevés, parfois non justifiésélevés, parfois non justifiés
La sécurité du système doit être relâchée pour ces La sécurité du système doit être relâchée pour ces applicationsapplications
Certaines tâches nécessitent des privilèges Certaines tâches nécessitent des privilèges élevésélevés
Difficile de déployer certaines applications sans Difficile de déployer certaines applications sans compromettre la sécurité du systèmecompromettre la sécurité du systèmeDes scénarios comme la mobilité ne fonctionnent pasDes scénarios comme la mobilité ne fonctionnent pas
Moindre privilège dans Windows Vista
Permettre aux entreprises de déployer Permettre aux entreprises de déployer un poste de travail plus sécurisé et un poste de travail plus sécurisé et gérable, et permettre un contrôle gérable, et permettre un contrôle parental à la maisonparental à la maison
Assurer que les utilisateurs peuvent Assurer que les utilisateurs peuvent effectuer toutes les tâches couranteseffectuer toutes les tâches courantes
Fournir une élévation de privilège simple et Fournir une élévation de privilège simple et sécurisée pour l’installation, la sécurisée pour l’installation, la désinstallation et les tâches désinstallation et les tâches administrativesadministratives
Protéger les tâches administratives des Protéger les tâches administratives des applications de l’utilisateurapplications de l’utilisateur
Objectifs d’UAC
Tous les utilisateurs s’exécutent comme des Tous les utilisateurs s’exécutent comme des utilisateurs standards même s’ils sont utilisateurs standards même s’ils sont administrateursadministrateurs
Tâches courantes revues pour fonctionner en tant Tâches courantes revues pour fonctionner en tant qu’utilisateur standardqu’utilisateur standardNe concerne que le logon interactifNe concerne que le logon interactif
Les administrateurs n’utilisent leurs privilèges Les administrateurs n’utilisent leurs privilèges que pour les tâches ou applications que pour les tâches ou applications administrativesadministrativesL’utilisateur fournit un consentement explicite L’utilisateur fournit un consentement explicite avant d’utiliser des privilèges élevésavant d’utiliser des privilèges élevésHaute compatibilité des applicationsHaute compatibilité des applicationsLes installateurs d’applications sont détectésLes installateurs d’applications sont détectésLes applications nécessitant des privilèges Les applications nécessitant des privilèges « admin » peuvent être marquées comme telles« admin » peuvent être marquées comme telles
Définitions
UtilisateurUtilisateurCompte n’appartenant pas au groupe local AdministrateursCompte n’appartenant pas au groupe local AdministrateursNe peut pas effectuer des changements sur le système complet (à Ne peut pas effectuer des changements sur le système complet (à quelques exceptions près comme les paramètres d’affichage)quelques exceptions près comme les paramètres d’affichage)Utilisateur à moindre privilège (LUA) ou Utilisateur StandardUtilisateur à moindre privilège (LUA) ou Utilisateur Standard
AdministrateurAdministrateurCompte appartenant au groupe local AdministrateursCompte appartenant au groupe local AdministrateursPar défaut les mêmes privilèges qu’un Utilisateur, mais a la Par défaut les mêmes privilèges qu’un Utilisateur, mais a la possibilité de les élever pour avoir un accès complet à la machine possibilité de les élever pour avoir un accès complet à la machine Administrateur protégé (PA)Administrateur protégé (PA)
Mode consentementMode consentementMode dans lequel il est demandé son consentement à Mode dans lequel il est demandé son consentement à l’Administrateur avant d’effectuer une tâche administrative –l’Administrateur avant d’effectuer une tâche administrative –sauf sauf pour le compte local Administrateurpour le compte local Administrateur
Mode saisieMode saisieDemande d’intervention d’un administrateur (authentification : Demande d’intervention d’un administrateur (authentification : nom/mot de passe, carte à puce…)nom/mot de passe, carte à puce…)Lorsqu’un Utilisateur effectue une tâche administrativeLorsqu’un Utilisateur effectue une tâche administrative
Meilleure expérience des utilisateurs standards
Corriger/supprimer les contrôles admin Corriger/supprimer les contrôles admin inappropriésinappropriés
Exemple typique : l’horloge systèmeExemple typique : l’horloge systèmeAjout d’imprimante, d’autres périphériques, Ajout d’imprimante, d’autres périphériques, changement de fuseau horaire, défragmenteur, changement de fuseau horaire, défragmenteur, options d’alimentation, ajout d’une clé WEP/WPA…options d’alimentation, ajout d’une clé WEP/WPA…Cacher certains éléments de l’interface si Cacher certains éléments de l’interface si l’utilisateur n’est pas administrateurl’utilisateur n’est pas administrateur
Utilisateur standard par défaut lors de la Utilisateur standard par défaut lors de la créationcréationBouclier pour identifier lesBouclier pour identifier lesopérations « admin »opérations « admin »
Demande d’élévation de privilègesPour un utilisateur standard
2 jetons pour un administrateur
Jeton restreint par défautPrivilèges d’un utilisateur standard
Jeton completPrivilèges d’un administrateur
Consentement par défaut
Élévation de privilège
À la demande :À la demande :
Systématiquement,Systématiquement,par les propriétés de l’exécutable :par les propriétés de l’exécutable :
Demande d’élévation de privilègesPour un administrateurApplication du système ou signéeApplication du système ou signée
Application non signéeApplication non signée
ConsentementConsentementouou
Saisie de mot de passeSaisie de mot de passe
Avertissement
Windows Vista permet à un Windows Vista permet à un administrateur de faire une utilisation administrateur de faire une utilisation plus raisonnable de ses privilèges mais plus raisonnable de ses privilèges mais un administrateur demeure un un administrateur demeure un administrateuradministrateur
L’objectif global N’est PAS de permettre L’objectif global N’est PAS de permettre à plus d’utilisateurs d’être à plus d’utilisateurs d’être administrateurs mais bien l’inverseadministrateurs mais bien l’inverse
Configuration d’UAC
Secpol.msc, Local Policies, Security Secpol.msc, Local Policies, Security OptionsOptions
6 paramètres :6 paramètres :
Compatibilité
Problème : applications qui ne fonctionnent pas Problème : applications qui ne fonctionnent pas correctement sans privilèges élevéscorrectement sans privilèges élevésVirtualisationVirtualisation
Écriture : redirige les écritures « par machine » Écriture : redirige les écritures « par machine » (disque, registre) vers le profil utilisateur(disque, registre) vers le profil utilisateur
Program Files, HKLMProgram Files, HKLM
Lecture : essaie de lire depuis le profil utilisateur en Lecture : essaie de lire depuis le profil utilisateur en premierpremier
Outil : LUA PredictorOutil : LUA PredictorIdentifie les appels (API) qui ne fonctionneraient pas Identifie les appels (API) qui ne fonctionneraient pas en tant qu’utilisateur standarden tant qu’utilisateur standardIdentifie les accès requérant un privilège Identifie les accès requérant un privilège administrateuradministrateurhttp://www.microsoft.com/windows/appcompatibility/http://www.microsoft.com/windows/appcompatibility/default.mspxdefault.mspx
Microsoft Application Compatibility ManagerMicrosoft Application Compatibility Manager
Send Data Cancel
Hide the specific applications to be shared with the ACT Community
Application Name Version Vendor
Adobe Acrobat Reader 7.0.9.0 ADOBE
Photo Shop 10.0 ADOBE
Roxy CD Creator 11.0 ROXY
Micorsoft Office 12.0 Microsoft
You are about to share your application and issue data with Microsoft Corporation; and anonymously with the ACT Community. You will receive compatibility issue information, based on your company’s applications, from both Microsoft and the ACT Community.
View an example of the data sent
Refer to the Privacy Statement for information on how this data is used.
Customize, categorize and prioritize applications
Reporting and analysis Automated mitigation of known issues
Comprehensive compatibility
ratings
Centralized Agent
Configuration
Option to share compatibility
data
Application Compatibility Toolkit (ACT) 5Réduction des coûts d’intégration
Isolation des processus
Processus à différents Processus à différents niveaux sur le même bureauniveaux sur le même bureauLe niveau de privilège Le niveau de privilège (admin, LUA) détermine le (admin, LUA) détermine le niveau d’intégriténiveau d’intégritéIntégrité ~ confianceIntégrité ~ confianceIsole les interactions Isole les interactions spécifiques entre les spécifiques entre les niveaux de privilègeniveaux de privilège
Bas ne peut pas écrire dans Bas ne peut pas écrire dans hauthaut
Blocage à la frontière des Blocage à la frontière des niveaux d’intégriténiveaux d’intégrité
Attaques ShatterAttaques ShatterInjection de DLLInjection de DLL
Compatibilité applicative Compatibilité applicative inchangée au même niveau inchangée au même niveau d’intégritéd’intégrité
IE
Word PPT
Console AV CPL
ServiceSystème
System
Admin
Utilisateur/LUA
Limité
exe téléchargé
Niveau d’intégrité
Isolation des processus
Deux jetons pour un administrateur : complet et Deux jetons pour un administrateur : complet et restreintrestreint
Les deux ont le même SID utilisateurLes deux ont le même SID utilisateurLe niveau d’intégrité (IL) est ajouté aux jetons pour les isoler Le niveau d’intégrité (IL) est ajouté aux jetons pour les isoler (c’est un SID de la forme (c’est un SID de la forme S-1-5-40-S-1-5-40-<niveau>)<niveau>)Les IL sont obligatoires et ne peuvent pas être changés Les IL sont obligatoires et ne peuvent pas être changés durant leurs cycles de viedurant leurs cycles de vie
Les processus LUA ont un niveau d’intégrité inférieur Les processus LUA ont un niveau d’intégrité inférieur et ne peuvent paset ne peuvent pas
Effectuer une élévation de privilèges en modifiant des Effectuer une élévation de privilèges en modifiant des processus PAprocessus PAEnvoyer des messages à des fenêtres d’un processus PA… Envoyer des messages à des fenêtres d’un processus PA… ou des fenêtres de n’importe quel processus d’un niveau ou des fenêtres de n’importe quel processus d’un niveau d’intégrité supérieurd’intégrité supérieur
Le processus LUA peut lire des données appartenant Le processus LUA peut lire des données appartenant au processus PA (le but premier est de protéger au processus PA (le but premier est de protéger contre l’écriture / la modification)contre l’écriture / la modification)
Isolation de processus
Met en place une frontière de Met en place une frontière de séparation des privilèges entre séparation des privilèges entre utilisateur LUA et administrateur utilisateur LUA et administrateur protégé PA qui empêche l’élévation protégé PA qui empêche l’élévation de privilèges interprocessusde privilèges interprocessus
La vérification est faite à chaque fois La vérification est faite à chaque fois qu’un processus utilise un objetqu’un processus utilise un objet
Un processus peut démarrer un enfant Un processus peut démarrer un enfant avec un IL inférieuravec un IL inférieur
Privilège pour lancer dans un IL supérieur Privilège pour lancer dans un IL supérieur : SeRelabelPrivilege: SeRelabelPrivilege
Synthèse
User Account Control : changer les bases du User Account Control : changer les bases du système système
Corriger le système pour qu’il fonctionne Corriger le système pour qu’il fonctionne correctement lorsqu’on est utilisateur standard correctement lorsqu’on est utilisateur standard
Corriger / supprimer les vérifications administratives Corriger / supprimer les vérifications administratives inappropriées (ex : affichage de l’horloge)inappropriées (ex : affichage de l’horloge)Faire en sorte que même les administrateurs exécutent Faire en sorte que même les administrateurs exécutent leurs applications en tant qu’utilisateur avec moindre leurs applications en tant qu’utilisateur avec moindre privilègeprivilège
Fournir une méthode sécurisée pour exécuter Fournir une méthode sécurisée pour exécuter certaines applications dans un contexte de certaines applications dans un contexte de privilèges élevésprivilèges élevés
Indiquer clairement que les actions ont alors un impact sur Indiquer clairement que les actions ont alors un impact sur la machine tout entièrela machine tout entièreNécessite que les applications non-UAC soient marquéesNécessite que les applications non-UAC soient marquées
Virtualisation du registre et des fichiers pour Virtualisation du registre et des fichiers pour permettre la compatibilitépermettre la compatibilité
MIC / UIPI : isoler les processusMIC / UIPI : isoler les processus
Références
Blog UACBlog UAChttp://blogs.msdn.com/uac/http://blogs.msdn.com/uac/Utiliser le kit de compatibilité applicative ACTUtiliser le kit de compatibilité applicative ACThttp://www.microsoft.com/technet/windowsvihttp://www.microsoft.com/technet/windowsvista/deploy/appcompat/acshims.mspxsta/deploy/appcompat/acshims.mspx http://www.microsoft.com/technet/windowsvihttp://www.microsoft.com/technet/windowsvista/security/uacppr.mspxsta/security/uacppr.mspxhttp://www.microsoft.com/technet/windowsvihttp://www.microsoft.com/technet/windowsvista/library/0d75f774-8514-4c9e-ac08-4c21f5csta/library/0d75f774-8514-4c9e-ac08-4c21f5c6c2d9.mspx6c2d9.mspxUsing Application Compatibility Tools for Using Application Compatibility Tools for Marking Legacy Applications with Elevated Marking Legacy Applications with Elevated Run Levels on Microsoft Windows Vista Run Levels on Microsoft Windows Vista http://www.microsoft.com/technet/windowsvihttp://www.microsoft.com/technet/windowsvista/deploy/appcompat/acshims.mspxsta/deploy/appcompat/acshims.mspx
Protection contre les exploitations- Traitement unifié des URL- Améliorations de la qualité du code- Choix explicite des ActiveX à exécuter - Mode protégé
Protections contre l’ingénierie sociale- Filtre antiphishing & barre d’adresse colorée- Notification des paramètres dangereux- Paramètres par défaut sécurisés pour les noms de domaine
internationaux (IDN)
Active X
ScénarioScénario IE6IE6 IE6 XP IE6 XP SP2SP2
IE7 XP IE7 XP SP2SP2 IE7 VistaIE7 Vista
TéléchargemenTéléchargement d’ActiveX non t d’ActiveX non signéssignés
Bloqué Bloqué silen-silen-
cieusemencieusementt
Bloqué Bloqué silen-silen-
cieusementcieusement
Bloqué silen-Bloqué silen-cieusementcieusement
Bloqué silen-Bloqué silen-cieusementcieusement
TéléchargemenTéléchargement d’ActiveX t d’ActiveX signéssignés
DemandeDemande Bloqué Bloqué avec Barre avec Barre
d’infosd’infos
Bloqué avec Bloqué avec Barre d’infosBarre d’infos
Bloqué avec Bloqué avec Barre d’infosBarre d’infos
Contrôles Contrôles ActiveX pré-ActiveX pré-installésinstallés
Exécution Exécution silencieusesilencieuse
Exécution Exécution silencieuse, silencieuse, peut être peut être
gérégéré
Bloqué avec Bloqué avec Barre d’infosBarre d’infos
Bloqué avec Bloqué avec Barre d’infosBarre d’infos
Simplicité Simplicité d’ajout de d’ajout de nouveaux nouveaux contrôles contrôles ActiveXActiveX
UtilisateurUtilisateurs admins admin
Utilisateurs Utilisateurs adminadmin
Utilisateurs Utilisateurs adminadmin
Utilisateurs Utilisateurs restreintsrestreints
Défense en profondeur dans Internet Explorer
Barre d’adresse sur toutes les fenêtres pop-upBarre d’adresse sur toutes les fenêtres pop-up
Restrictions sur le comportement des prompts Restrictions sur le comportement des prompts s’exécutant dans des ongletss’exécutant dans des onglets
Paramètres de sécurité par zoneParamètres de sécurité par zone
Notification des Notification des paramètres non sursparamètres non surs
Atténuation des risques ActiveX par autorisation Atténuation des risques ActiveX par autorisation d’installation et d’exécution explicitesd’installation et d’exécution explicites
Paramètres de sécurité par zone (URLActions)
Filtre anti-phishingProtection dynamique avec IE 7 et Windows Live / Barre MSN
Fournit 3Fournit 3 « contrôles » pour protéger les utilisateurs du phishing : « contrôles » pour protéger les utilisateurs du phishing :
1.1. Compare le site Web avec une liste de site légitimes connus localementCompare le site Web avec une liste de site légitimes connus localement
2.2. Examine la page Web grâce à une heuristique afin de détecter les Examine la page Web grâce à une heuristique afin de détecter les caractéristiques communes des sites de phishingcaractéristiques communes des sites de phishing
3.3. Contrôle le site par rapport à un service Microsoft en ligne qui signale les sites Contrôle le site par rapport à un service Microsoft en ligne qui signale les sites connus pour leurs activités de phishing mis à jour connus pour leurs activités de phishing mis à jour plusieurs fois chaque heureplusieurs fois chaque heure
Niveau 1 : Alerte Site Web suspect
Signalé
Niveau 2 : Blocage Site de phishing confirmé
Signalé et bloqué
Deux niveaux d’alerte et de protection Deux niveaux d’alerte et de protection dans la barre de statut d’IE7dans la barre de statut d’IE7
En opt-in !
Une vue rapide des sources de données
Pipeline d’évaluation
Utilisateur
Front End
Barre d’outils WL
Site de retour clients
Fournisseur tiers de données
MarkMonitor Cyota Internet Identity
Base de données URS
IE7
Services Web URS
Back End
Retour de la communautéEscalades vers le responsable du site
Source de données interne
Microsoft
Examen humain
Retour clients et escalade
Mises à jour automatiques
Implémenté plus tard
Implementé
Les fournisseurs actuels de donnéesD’autres partenaires à venir…..
Mode protégé d’Internet Explorer
S’appuie sur UAC/MIC pour protéger les S’appuie sur UAC/MIC pour protéger les données et paramètres de l’utilisateurdonnées et paramètres de l’utilisateur
Fait tourner Internet Explorer en mode Fait tourner Internet Explorer en mode lecture seule dans la Zone Internet, à lecture seule dans la Zone Internet, à l’exception du répertoire Temporary Internet l’exception du répertoire Temporary Internet FilesFiles
Bloque la possibilité pour les logiciels Bloque la possibilité pour les logiciels malveillants de supprimer des données de malveillants de supprimer des données de l’utilisateur, de détourner des paramètres du l’utilisateur, de détourner des paramètres du navigateur, ou d’ajouter quoi que ce soit dans navigateur, ou d’ajouter quoi que ce soit dans le dossier de démarrage de l’utilisateur sans le dossier de démarrage de l’utilisateur sans son consentementson consentement
IE6IE6
IE6 s’exécutant avec les droits IE6 s’exécutant avec les droits d’administrationd’administration
Installation d’un pilote, exécution de Windows Update
Modification des paramètres, télé-chargement d’une image
Mise en cache du contenu Web
Exploitation peut installer MALWARE
Exploitation peut installer MALWARE
Accès droits adminAccès droits admin
Accès droits utilisateur
Accès droits utilisateur
Fichiers temporaires
Fichiers temporaires
HKLM
Program Files
HKCU
Mes Documents
Dossier de démarrage
Fichiers et paramètres de défiance
IExploreIExplore
Installation d’un contrôle ActiveX
Changement de paramètres,
Enregistrement d’une image
Co
ntr
ôle
d’i
nté
gri
té
IEU
ser
Paramètres et fichiers redirigés
Red
irec
teu
r co
mp
atib
ilit
é
Mise en cache du contenu Web
Accès droits adminAccès droits admin
Accès droits utilisateurAccès droits utilisateur
Fichiers temporairesFichiers temporaires
HKLM
HKCR
Program Files
HKCU
Documents
Dossier de démarrage
Fichiers et paramètres de défiance
IEA
dmin
IE7 en mode protégé (Vista)
Traitement unifié des URL
Problématique :Problématique :Les URL passées sous forme de chaînes Les URL passées sous forme de chaînes peuvent être traitées différemment et de peuvent être traitées différemment et de manière incohérente au travers de la pilemanière incohérente au travers de la pile
Les caractères spéciaux compliquent le Les caractères spéciaux compliquent le traitement des URLtraitement des URL
http://[email protected]://[email protected]
Solution :Solution :iURI est le nouvel et unique de traitement des iURI est le nouvel et unique de traitement des URL d’IEURL d’IE
Met sous forme canonique les URL (RFC 3986)Met sous forme canonique les URL (RFC 3986)
IE passe l’objet pré-traité à la pile de traitementIE passe l’objet pré-traité à la pile de traitement
Problématique :Problématique :Les contrôles ActiveX peuvent exposer des Les contrôles ActiveX peuvent exposer des fonctions dangereuses et avoir des vulnérabilités fonctions dangereuses et avoir des vulnérabilités exploitables par n’importe quelle page Webexploitables par n’importe quelle page Web
Solution :Solution :Les contrôles ActiveX pré-installés demanderont Les contrôles ActiveX pré-installés demanderont l’autorisation de s’exécuter lors de leur première l’autorisation de s’exécuter lors de leur première utilisation, de même que les contrôles utilisation, de même que les contrôles téléchargéstéléchargés
Les utilisateurs peuvent lancer IE avec tous les Les utilisateurs peuvent lancer IE avec tous les Add-ons désactivés (y compris les BHO)Add-ons désactivés (y compris les BHO)
““This move is worth praise.”This move is worth praise.”Joe Wilcox, Jupiter Research, September 13, 2005Joe Wilcox, Jupiter Research, September 13, 2005
Choix explicite des ActiveX à exécuter
Problématique :Problématique :Les hackers utilisent les protocoles de script Les hackers utilisent les protocoles de script pour exécuter des scripts hors domainespour exécuter des scripts hors domaines
Solution :Solution :Migrer le protocole de script pour qu’il Migrer le protocole de script pour qu’il exécute le script dans la page d’origineexécute le script dans la page d’origine
Sécurité interdomaine
Autres fonctionnalités
Restauration des paramètres par défaut Restauration des paramètres par défaut d’IEd’IE
Restauration des paramètres de baseRestauration des paramètres de base
Effacement complet des tracesEffacement complet des traces
Gestion de la Gestion de la politique d’accèspolitique d’accès
Identité digne Identité digne de confiancede confiance
Protection de Protection de l’Informationl’Information
Fournir l’accès en Fournir l’accès en fonction de la fonction de la
politique de sécuritépolitique de sécurité
Protéger les données Protéger les données au long du cycle de au long du cycle de
vievie
Assurer que les Assurer que les utilisateurs sont bien utilisateurs sont bien ce qu’ils disent être ; ce qu’ils disent être ; gestion du cycle de gestion du cycle de
vie de l’identitévie de l’identité
Authentification forte (carte Authentification forte (carte à puce, etc.)à puce, etc.)Services de certificats Services de certificats (PKI)(PKI)
Role-based Access ControlRole-based Access ControlGroup Policy Management Group Policy Management ConsoleConsoleAmélioration de l’auditAmélioration de l’auditContrôle parentalContrôle parental
Rights Management ServicesRights Management ServicesServices de chiffrementServices de chiffrementProtocoles et canaux Protocoles et canaux sécuriséssécurisésServices de sauvegarde et de Services de sauvegarde et de récupérationrécupérationBitlockerBitlocker
Permet uniquement aux utilisateurs légitimes un accès sécurisé et Permet uniquement aux utilisateurs légitimes un accès sécurisé et basé sur une politique de sécurité aux machines, applications et basé sur une politique de sécurité aux machines, applications et
donnéesdonnées
Gestion de l’identité et de l’accès
Système d’exploitation sécuriséSystème d’exploitation sécurisé
Aperçu du contrôle d’accès dans Windows Vista
Bureau isoléBureau isoléDémarrage Démarrage
sécurisé sécurisé (BitLocker (BitLocker Drive Encryption)Drive Encryption)
Contrôle d’accèsContrôle d’accès
AuthentificationAuthentification AutorisationAutorisation
AuthZ AuthZ applisapplis
AzmanAzman
RBACRBAC
Ouverture Ouverture de sessionde session
ProtocoleProtocole
IdentitéIdentité
AuthentificatiAuthentification forteon forte
AuditAudit Gestion des lettres Gestion des lettres de créancede créance
Itinérance des Itinérance des lettres de créancelettres de créance
Gestion du cycle de Gestion du cycle de vievie
Certificate ServerCertificate Server
Cartes à puceCartes à puce
Critères Critères CommunsCommuns
JournalisatiJournalisationon
EvénementsEvénements
FIPSFIPS
Services de cryptographieServices de cryptographie
CAPICAPI CNGCNG
Policy exp.Policy exp.
Traitement X.509Traitement X.509
Accès sécuriséBureau isoléBureau isoléProtection des données avec le chiffrement de lecteur Protection des données avec le chiffrement de lecteur BitLocker™BitLocker™Nouvelle architecture d’ouverture de session WindowsNouvelle architecture d’ouverture de session WindowsNouvelle infrastructure pour la cryptographieNouvelle infrastructure pour la cryptographieSimplicité du déploiement de l’authentification forteSimplicité du déploiement de l’authentification forte
Améliorations pour les cartes à puce (clés EFS sur la carte; Améliorations pour les cartes à puce (clés EFS sur la carte; adhésion au domaine; outils de déploiement et de libre adhésion au domaine; outils de déploiement et de libre service)service)Améliorations de Certificate Services (PKI)Améliorations de Certificate Services (PKI)
Administration simplifiée de l’autorisationAdministration simplifiée de l’autorisationNetwork Access ProtectionNetwork Access ProtectionGestion de l’identité centrée sur l’utilisateur avec Gestion de l’identité centrée sur l’utilisateur avec InfoCardInfoCard
Contrôle d’accèsContrôle d’accès
Système d’exploitation sécuriséSystème d’exploitation sécurisé
Aperçu du contrôle d’accès dans Windows Vista
Bureau isoléBureau isoléDémarrage Démarrage
sécurisé sécurisé (BitLocker (BitLocker Drive Encryption)Drive Encryption)
AuthentificationAuthentification AutorisationAutorisation
AuthZ AuthZ applisapplis
AzmanAzman
RBACRBAC
Ouverture Ouverture de sessionde session
ProtocoleProtocole
IdentitéIdentité
AuthentificatiAuthentification forteon forte
AuditAudit Gestion des lettres Gestion des lettres de créancede créance
Itinérance des Itinérance des lettres de créancelettres de créance
Gestion du cycle de Gestion du cycle de vievie
Certificate ServerCertificate Server
Cartes à puceCartes à puce
Critères Critères CommunsCommuns
JournalisatiJournalisationon
EvénementsEvénements
FIPSFIPS
Services de cryptographieServices de cryptographie
CAPICAPI CNGCNG
Policy exp.Policy exp.
Traitement X.509Traitement X.509
Sessions ?
Windows Server 2003 :Windows Server 2003 :Session 0 = consoleSession 0 = console
Sessions 1..n = sessions Terminal ServicesSessions 1..n = sessions Terminal Services
Windows XP avec Windows XP avec Fast User SwitchingFast User Switching : :Session 0 = session du premier utilisateurSession 0 = session du premier utilisateur
Sessions 1..n = utilisateurs suivantsSessions 1..n = utilisateurs suivants
Isolation de la session 0 Comportement de Windows XP
Session 0Session 0
Service AService A
Service CService C
Service BService B
Application Application AA
Application Application BB
Application Application CC
Session 1Session 1
ApplicatioApplication Dn D
ApplicatioApplication En E
ApplicatioApplication Fn F
Session 2Session 2
ApplicatioApplication Gn G
ApplicatioApplication Hn H
ApplicatioApplication In I
Session 3Session 3
ApplicatioApplication Jn J
ApplicatioApplication Kn K
ApplicatioApplication Ln L
Isolation de la session 0Comportement de Windows Vista
Session 1Session 1
ApplicatioApplication An A
ApplicatioApplication Bn B
ApplicatioApplication Cn C
Session 2Session 2
ApplicatioApplication Dn D
ApplicatioApplication En E
ApplicatioApplication Fn F
Session 3Session 3
ApplicatioApplication Gn G
ApplicatioApplication Hn H
ApplicatioApplication In I
Session 0Session 0
Service AService A
Service BService B
Service CService C
Isolation de la session 0Introduction à la technologie
Séparation des Services des sessions Séparation des Services des sessions utilisateursutilisateurs
Le bureau est la frontière de sécurité Le bureau est la frontière de sécurité pour les interfaces utilisateurs Windowspour les interfaces utilisateurs Windows
Les services interactifs sont vulnérables à Les services interactifs sont vulnérables à la compromission via Windows Messagingla compromission via Windows Messaging
Actuellement les utilisateurs ne Actuellement les utilisateurs ne peuvent pas voir ni interagir avec peuvent pas voir ni interagir avec l’interface utilisateur d’un service l’interface utilisateur d’un service interactif de leur sessioninteractif de leur session
Isolation de la session 0Conseils d’implémentation
Les services ne devraient JAMAIS ouvrir une Les services ne devraient JAMAIS ouvrir une fenêtre sur le bureau interactiffenêtre sur le bureau interactif
Les services qui ont besoin d’une entrée Les services qui ont besoin d’une entrée utilisateur peuvent :utilisateur peuvent :
Utiliser Utiliser WTSSendMessage WTSSendMessage pour faire apparaître une pour faire apparaître une simple boîte de message sur le bureau de simple boîte de message sur le bureau de l’utilisateurl’utilisateur
Injecter un processus dans la session cible en Injecter un processus dans la session cible en utilisant l’API utilisant l’API CreateProcessAsUserCreateProcessAsUser
Nouveautés Wi-fi dans VistaObjectifs
SécuritéSécurité
GestionGestion
Réduction Réduction des coûtsdes coûts
Support des standards les Support des standards les plus sécurisésplus sécurisés
Protège des attaques les Protège des attaques les plus courantesplus courantes
Support des solutions de Support des solutions de sécurité non standardssécurité non standards
Stratégies de groupesStratégies de groupes
Ligne de commandeLigne de commande
Diagnostics : réduisent la Diagnostics : réduisent la charge du supportcharge du support
Fiabilité améliorée grâce à Fiabilité améliorée grâce à l’architecture native Wi-fil’architecture native Wi-fi
Nouveautés sécurité
Niveau de standards de sécurité le plus Niveau de standards de sécurité le plus élevé :élevé :
WPA2 (802.11i), WPA, 802.1xWPA2 (802.11i), WPA, 802.1xPEAP MSCHAPv2 (défaut dans Vista), PEAP-TLS, PEAP MSCHAPv2 (défaut dans Vista), PEAP-TLS, EAP-TLSEAP-TLS
Réseau ad-hoc sécuriséRéseau ad-hoc sécuriséWPA2-PSKWPA2-PSK
Expérience « Single Sign-On »Expérience « Single Sign-On »Extensibilité EAPHostExtensibilité EAPHost
Permet des méthodes EAP tiercesPermet des méthodes EAP tierces
Gestion par stratégies de groupe et ligne de Gestion par stratégies de groupe et ligne de commandecommandeSupport de Network Access Protection (NAP)Support de Network Access Protection (NAP)
Vulnérabilités prises en compte
Liste des réseaux préférés non diffuséeListe des réseaux préférés non diffusée
Utilisateurs novices protégésUtilisateurs novices protégésRéseaux non protégés clairement indiquésRéseaux non protégés clairement indiqués
L’assistant de création d’un réseau choisit L’assistant de création d’un réseau choisit par défaut le niveau de sécurité le plus par défaut le niveau de sécurité le plus élevé en fonction de la carteélevé en fonction de la carte
Des réseaux et types de réseaux Des réseaux et types de réseaux spécifiques peuvent être bloqués / spécifiques peuvent être bloqués / autorisésautorisés
Stratégies de groupe
Déploiement simplifiéDéploiement simplifiéSupport d’environnements de sécurité Wi-fi Support d’environnements de sécurité Wi-fi mixtesmixtesSéparation du 802.1x sur câble et sans filSéparation du 802.1x sur câble et sans fil
Gestion granulaireGestion granulaireListes autorisations / interdictionsListes autorisations / interdictionsWPA2, WPA, WEP, EAP-TLS, PEAP-MSCHAPv2, WPA2, WPA, WEP, EAP-TLS, PEAP-MSCHAPv2, etc.etc.Support des réseaux cachésSupport des réseaux cachésConnectivité manuelle / automatiqueConnectivité manuelle / automatique
Expérience utilisateur amélioréeExpérience utilisateur amélioréeExtensibilitéExtensibilité
Pour les paramètres spécifiques aux Pour les paramètres spécifiques aux fournisseurs de matérielfournisseurs de matériel
Ligne de commande
Wireless CommandsWireless Commands
add profileadd profileadd filteradd filtershow profilesshow profilesshow filtersshow filtersshow settingsshow settingsshow interfacesshow interfacesdelete profiledelete profiledelete filterdelete filterset preferenceorderset preferenceorderset autoconfigset autoconfigset blockednetworksset blockednetworksexport profileexport profiledumpdump
Wired CommandsWired Commands
add profileadd profile
show profilesshow profiles
show settingsshow settings
show interfacesshow interfaces
delete profiledelete profile
set autoconfig set autoconfig
export profileexport profile
Helper Class (L2Sec Helper Class) Event: Diagnosis initiated at: 10\17\2005 13:48:03Interface Attribute Information: Interface Name: Dell TrueMobile 1150 …Connection Attribute Information: Profile Name: WLANDIAG Ssid = WLANDIAG, Ssid length = 8 Mode: Infrastructure Reset Counter: 1,Connection ID: 1 Security is ENabled for this profileConnection was attempted at: 10\17\2005 13:47:41 Using Authentication Mode: Open Using Cipher: WEP Number of Security packets received: 0 Number of Security packets sent: 3 Status codes = 294927 : 0 : 0 Security is ENabled for this profile 802.1x protocol is enabled on this connection, EapType = 25 …. 802.11 Pre-association succeeded 802.11 Association succeededSecurity was initiated at: 10\17\2005 13:47:41 FAILed to receive, or set Unicast keys Security attempt FAILed, Last Error = 294927Diagnosis Result: ConfirmedRoot-cause: No 802.1x authenticator found for this networkRepair: Disable 802.1x protocol for this connection
Chiffrement de disque avec BitLocker
Conçu spécifiquement pour Conçu spécifiquement pour empêcher un voleur qui empêcher un voleur qui démarrerait un autre OS ou démarrerait un autre OS ou exécuterait un outil de hacking exécuterait un outil de hacking pour casser les protections pour casser les protections système et fichiers de Windowssystème et fichiers de WindowsFournit une protection des Fournit une protection des données sur les systèmes données sur les systèmes clients Windows, même quand clients Windows, même quand le système est entre des mains le système est entre des mains non autorisées ou exécute un non autorisées ou exécute un système d’exploitation différentsystème d’exploitation différentUtiliser un module TPM 1.2 pour Utiliser un module TPM 1.2 pour le stockage de cléle stockage de cléScénariosScénarios
Vol de PCVol de PCDéploiement serveur d’agenceDéploiement serveur d’agenceRecyclage de PCRecyclage de PC
BitLockerBitLocker
Chiffrement de disque avec BitLocker Les concepts
Chiffrement de la partition entière au niveau secteurChiffrement de la partition entière au niveau secteurProtection des fichiers système et fichiers temporaires, des fichiers Protection des fichiers système et fichiers temporaires, des fichiers d’hibernation et de swap, etc…d’hibernation et de swap, etc…
Authentification de l’OS par TPM permet l’accès à la clé de Authentification de l’OS par TPM permet l’accès à la clé de chiffrementchiffrement
TPM Version 1.2TPM Version 1.2www.trustedcomputinggroup.orgwww.trustedcomputinggroup.org
La clé de chiffrement est scellée pour le loader autoriséLa clé de chiffrement est scellée pour le loader autoriséSeul le « bon » OS peut déverrouiller l’accèsSeul le « bon » OS peut déverrouiller l’accèsDémarrage sécurisé (Démarrage sécurisé (Secure StartupSecure Startup))
Renforcement de la protection par deux facteursRenforcement de la protection par deux facteursTPM + code PINTPM + code PINTPM + clé USBTPM + clé USB
Mode sans TPMMode sans TPMClé USB seuleClé USB seule
Protection des données en mode déconnecté, mais perte de la notion de Protection des données en mode déconnecté, mais perte de la notion de Secure StartupSecure Startup
Chiffrement de disque avec BitLocker
Protection de la clé de chiffrement Protection de la clé de chiffrement par TPM (Trusted Platform Module) par TPM (Trusted Platform Module) seulementseulement
par TPM + code PINpar TPM + code PIN
par TPM + clé USBpar TPM + clé USB
par clé USB seulement (machines sans par clé USB seulement (machines sans TPM)TPM)
Architecture des services TPM
Amorçage sécurisé
Outils d’administra-
tion
Fournisseur de stockage
de clés
Services de base du TPM
Driver du TPM
TPM
TSS*
Application tierce
Facilité d’utilisation vs sécurité
Sécurité
Fac
ilité
d’u
tilis
a ti o
n
TPM Seul« Ce que c’est »Protège contre : Attaque logiciel
seulVulnérable à :
attaques matérielles (y compris des
attaques potentiellement
« faciles »)
TPM + PIN« Ce que vous
savez »Protège contre : De
nombreuses attaques hardwareVulnérable à : des
attaques pour casser le TPM
Dongle Seul« Ce que vous
avez » Protège contre :
Toutes les attaques hardware
Vulnerable à : Perte du dongleAttaque pre-OS
TPM + Dongle« Deux choses
que je possède »Protège contre : De nombreuses
attaques hardware
Vulnerable à : des attaques hardware
**************
Chiffrement de disque avec BitLocker Clé de chiffrement et organisation du disque
Chiffrement de disque avec BitLocker Clé de chiffrement et organisation du disque
BootBoot
PartitionsPartition de boot – clair (350MO)Partition OS - chiffrée
Partition de bootMBR (Master Boot Record), Loader, Boot Utilities, Clé VMK protégée
Clé de chiffrement
1. SRK (Storage Root Key) dans le TPM
2. VMK (Volume Master Key) chiffrée par la SRK
3. VMK (protégée par SRK) réside sur la Partition de Boot
VEK
2
3
WindowsWindows
SRK
1
Architecture SRTM des premiers composants de l’amorçage
Architecture SRTM des premiers composants de l’amorçage
Le « blob » du volume de l’OS cible est déverrouillé
Tous les « blobs » nécessaires pour l’amorçage sont
déverrouillés
Démarrage de l’OS
BootSector
BootManager
Démar-rage de
l’ OSOS Loader
BootBlock
Avant l’OS
BIOS
MBR
TPM Init
Chiffrement de disque avec BitLocker Usage du TPM
Le démarrage sécurisé (Le démarrage sécurisé (Secure Startup)Secure Startup) s’appuie sur le s’appuie sur le Static Root Static Root of Trust Measurement (SRTM)of Trust Measurement (SRTM) du TPM du TPMFonction Fonction ExtendExtend
L’authentification de l’OS est établie par la constitution d’empreintes du L’authentification de l’OS est établie par la constitution d’empreintes du code dans les PCR (Platform Configuration Register)code dans les PCR (Platform Configuration Register)A la mise sous tension, les PCR sont initialisés à zéroA la mise sous tension, les PCR sont initialisés à zéroLa fonction La fonction ExtendExtend permet d’enrichir un PCR du condensé ( permet d’enrichir un PCR du condensé (hashhash) de sa ) de sa valeur actuelle et des nouvelles données en entrée:valeur actuelle et des nouvelles données en entrée:
le code à authentifierle code à authentifierOn « mesure » ainsi le code avant son exécutionOn « mesure » ainsi le code avant son exécutionChaque PCR est affecté à la mesure d’un bout de code de démarrageChaque PCR est affecté à la mesure d’un bout de code de démarrage
BIOS PCRBIOS PCRBoot Sector PCR, etc…Boot Sector PCR, etc…
Fonctions Fonctions Seal/UnsealSeal/UnsealSeal permet de chiffrer une donnéeSeal permet de chiffrer une donnéeUnsealUnseal permet de déchiffrer une donnée si et seulement si le jeu des permet de déchiffrer une donnée si et seulement si le jeu des registres PCR auquel est associée l’opération sont positionnés à la registres PCR auquel est associée l’opération sont positionnés à la même valeur que lors du même valeur que lors du SealSeal
On ne peut desceller une clé qui si on a démarré le même OSOn ne peut desceller une clé qui si on a démarré le même OS
Mesure de l’OS à l’aide du TPM
Initialisation des registres et transfert Initialisation des registres et transfert de l’exécution au de l’exécution au Core Root of Trust Core Root of Trust MeasurementMeasurement
Mesure du firmware dans PCR[0] et des Mesure du firmware dans PCR[0] et des données dans PCR[1]données dans PCR[1]
Hardware test and configurationHardware test and configuration
Le code est d’abord mesuré, puis Le code est d’abord mesuré, puis exécutéexécuté
Le PCR s’enrichit du SHA-1 du texte Le PCR s’enrichit du SHA-1 du texte en entréeen entrée
Option ROMs et données dans PCR[2] Option ROMs et données dans PCR[2] et [3]et [3]
MBR dans PCR[4], table des partitions MBR dans PCR[4], table des partitions PCR[5]PCR[5]PCR[0]PCR[0]
PCR[1]PCR[1]PCR[2]PCR[2]PCR[3]PCR[3]PCR[4]PCR[4]PCR[5]PCR[5]PCR[6]PCR[6]PCR[7]PCR[7]PCR[8]PCR[8]PCR[9]PCR[9]
PCR[10]PCR[10]PCR[11]PCR[11]PCR[12]PCR[12]PCR[13]PCR[13]PCR[14]PCR[14]PCR[15]PCR[15]
Pla
tform
Configura
tion R
egis
ters
Pla
tform
Configura
tion R
egis
ters
Mesure de l’OS à l’aide du TPM
MBR prend le contrôle; charge le MBR prend le contrôle; charge le premier secteur de la partition de premier secteur de la partition de boot active en mémoire; mesure boot active en mémoire; mesure les premiers 512 octets dans les premiers 512 octets dans PCR[8]PCR[8]Le secteur de Boot est mesuré Le secteur de Boot est mesuré dans PCR[9] puis exécutédans PCR[9] puis exécutéLe code de BOOTMGR est mesuré Le code de BOOTMGR est mesuré dans PCR[10] puis exécutédans PCR[10] puis exécutéApplications de démarrage Applications de démarrage additionnelles doivent être additionnelles doivent être chargées à partir de la partition chargées à partir de la partition BitlockerBitlockerFinalement, BOOTMGR transfert le Finalement, BOOTMGR transfert le contrôle vers l’OS; l’OS vérifie contrôle vers l’OS; l’OS vérifie alors l’intégrité des exécutables alors l’intégrité des exécutables avant le transfert d’exécutionavant le transfert d’exécutionPCR[0]PCR[0]
PCR[1]PCR[1]PCR[2]PCR[2]PCR[3]PCR[3]PCR[4]PCR[4]PCR[5]PCR[5]PCR[6]PCR[6]PCR[7]PCR[7]PCR[8]PCR[8]PCR[9]PCR[9]
PCR[10]PCR[10]PCR[11]PCR[11]PCR[12]PCR[12]PCR[13]PCR[13]PCR[14]PCR[14]PCR[15]PCR[15]
Pla
tform
Configura
tion R
egis
ters
Pla
tform
Configura
tion R
egis
ters
Chiffrement de disque avec BitLocker Group Policy et récupération
Machine hors domaineMachine hors domaineRécupération se fait par mot de passe sur fichier/imprimante, ou Récupération se fait par mot de passe sur fichier/imprimante, ou par clé USB – L’utilisateur contrôle sa stratégie de récupérationpar clé USB – L’utilisateur contrôle sa stratégie de récupération
Machine dans un domaine Active DirectoryMachine dans un domaine Active DirectoryGroup Policy permet de contrôlerGroup Policy permet de contrôler
Activation de BitLocker Drive EncryptionActivation de BitLocker Drive EncryptionSauvegarde du mot de passe de récupération dans ADSauvegarde du mot de passe de récupération dans AD
La VMK est protégéeLa VMK est protégéePar le mécanisme principalPar le mécanisme principal
TPM (y compris TPM+PIN) ou TPM+Clé USBTPM (y compris TPM+PIN) ou TPM+Clé USBPar les mécanismes de récupérationPar les mécanismes de récupération
Mot de passeMot de passeClé USBClé USB
Les « blobs » sont stockés en tant que métadonnées sur la Les « blobs » sont stockés en tant que métadonnées sur la partition système (la partition non chiffrée)partition système (la partition non chiffrée)
Récupération du Secure Startup
Accès réseau via AD
Fonctionnalité mise en service
Séquestre de la clé (par exemple
via AD)
L’utilisateur casse son PC
portable
Le disque dur de l’ancien PC
va dans le nouveau
Secure Startup Recovery Key
Please enter your Secure Startup Recovery Key.
CancelOk
x
Alert: Secure Startup Recovery
Secure Startup Recovery has failed.
You will not be able to start up your computer nor access your data. Your hard drive will remain encrypted until you can provide either the recovery media or your recovery key.
Close
x
**** **** **** ****
Secure Startup Recovery Mode
You have successfully recovered your data.
The recovery process is complete.
Close
x
L’utiliateur appelle son administrateur à l’aide
L’administrateur récupère la clé de récupération de l’utilisateur et lui donne
après avoir vérifié son identité
BitLockerChiffrement de la partition
Chiffrement secteur par secteurChiffrement secteur par secteurTailles 512, 1024, 2048, 4096, ou 8192 Tailles 512, 1024, 2048, 4096, ou 8192 octets octets
Avec une clé FVEK (Full Volume Avec une clé FVEK (Full Volume Encryption Key)Encryption Key)
256 bits256 bits
Protégée par la VMKProtégée par la VMK
MéthodeMéthodeAES 256 en mode CBC avec une diffusion AES 256 en mode CBC avec une diffusion supplémentairesupplémentaire
Améliorations d’EFSSécurité étendue et scénarios de déploiementSupport des clés privées stockées dans les Support des clés privées stockées dans les
cartes à pucecartes à puceSupport du “re-keying” et de la migrationSupport du “re-keying” et de la migration
SSO avec l’ouverture de session interactiveSSO avec l’ouverture de session interactive
Chiffrement côté client sur SMB (CIFS)Chiffrement côté client sur SMB (CIFS)
Nouvelles stratégies de groupe pour la Nouvelles stratégies de groupe pour la gestion en entreprisegestion en entreprise
Notification de sauvegarde de clé et de Notification de sauvegarde de clé et de certificatcertificat
Assistant de diagnostic pour le dépannageAssistant de diagnostic pour le dépannage
Améliorations de la sécurité, performance Améliorations de la sécurité, performance et de la capacité de gestionet de la capacité de gestion
Chiffrement du système Chiffrement du système de fichiers par utilisateurde fichiers par utilisateur
Chiffrement de disque Chiffrement de disque basé sur le matérielbasé sur le matériel
RMS, EFS et BitLockerProtection des données dans Windows Vista
Rights ManagementRights ManagementServicesServices
Encrypted FileEncrypted FileSystemSystem
BitLockerBitLocker
Définition et respect Définition et respect d’une politiqued’une politique
Quelle fonctionnalité utiliser ? De qui cherchez-vous à vous protéger ?De qui cherchez-vous à vous protéger ?
D’autres utilisateurs ou administrateurs de la machine ?D’autres utilisateurs ou administrateurs de la machine ? EFSEFS
D’utilisateurs non autorisés avec un accès physique à la machine?D’utilisateurs non autorisés avec un accès physique à la machine? BitLockerBitLocker
ScénariosScénarios BitLockerBitLocker EFSEFS RMSRMS
PortablesPortables XX
Serveur d’une succursaleServeur d’une succursale XX
Protection locale de fichiers et dossiers Protection locale de fichiers et dossiers pour un seul utilisateurpour un seul utilisateur
XX
Protection locale de fichiers et dossiers Protection locale de fichiers et dossiers pour un plusieurs utilisateurspour un plusieurs utilisateurs
XX
Protection distante de fichiers et Protection distante de fichiers et dossiersdossiers
XX
Administrateur réseau de défianceAdministrateur réseau de défiance XX
Respect à distance de la politique pour Respect à distance de la politique pour un documentun document
XX
Certains cas peuvent se chevaucher (par ex. plusieurs utilisateurs itinérants avec des administrateurs réseau de défiance)
Comparaison des technologies
BitLockerBitLocker EFSEFS RMSRMS
Chiffrement Chiffrement AES 128AES 128 AES 128AES 128 AES 128AES 128
DonnéesDonnées BlocsBlocs FichiersFichiers Défini par l’application; Défini par l’application; document ou emaildocument ou email
Stockage de clésStockage de clés Identité TPM + logiciel, Identité TPM + logiciel, Dongle, FichierDongle, Fichier
Logiciel, carte à puceLogiciel, carte à puce Logiciel obscurciLogiciel obscurci
Protège quoi ?Protège quoi ? Windows et donnéesWindows et données Répertoires et fichiersRépertoires et fichiers Confidentialité et usage des Confidentialité et usage des documentsdocuments
Protège qui ?Protège qui ? Le propriétaire et Le propriétaire et l’utilisateur de la machinel’utilisateur de la machine
Les utilisateursLes utilisateurs Les propriétaires de Les propriétaires de documentsdocuments
Gestion de clésGestion de clés TPM, DongleTPM, Dongle Logiciel, carte à puceLogiciel, carte à puce RMSRMS
ProtectionProtection Locale, distanteLocale, distante Locale, distanteLocale, distante DistanteDistante
Scénario typeScénario type Portable perdu ou voléPortable perdu ou volé PC multiutilisateurPC multiutilisateur Partage de document protégéPartage de document protégé
Scenario type pour Scenario type pour l’administrateurl’administrateur
Bit ChippingBit Chipping Contrôle riche de l’usage Contrôle riche de l’usage d’EFS sur les PC de d’EFS sur les PC de l’entreprise, via GPOl’entreprise, via GPO
Établir une politique Établir une politique d’entreprise de gestion de d’entreprise de gestion de l’informationl’information
L’admin peut tout ?L’admin peut tout ? OuiOui Non*Non* NonNon
Supporte d’autres Supporte d’autres mécanismes de mécanismes de sécuritésécurité
OuiOui Oui*Oui* NonNon
Mécanisme de Mécanisme de récupération de récupération de donnéesdonnées
Dongle, Fichier, AD, entrée Dongle, Fichier, AD, entrée manuelle de la clémanuelle de la clé
Politique locale ou ADPolitique locale ou AD Politique du serveur RMSPolitique du serveur RMS
Contrôle d’accèsContrôle d’accès
Système d’exploitation sécuriséSystème d’exploitation sécurisé
Aperçu du contrôle d’accès dans Windows Vista
Bureau isoléBureau isoléDémarrage Démarrage
sécurisé sécurisé (BitLocker (BitLocker Drive Encryption)Drive Encryption)
AuthentificationAuthentification AutorisationAutorisation
AuthZ AuthZ applisapplis
AzmanAzman
RBACRBAC
Ouverture Ouverture de sessionde session
ProtocoleProtocole
IdentitéIdentité
AuthentificatiAuthentification forteon forte
AuditAudit Gestion des lettres Gestion des lettres de créancede créance
Itinérance des Itinérance des lettres de créancelettres de créance
Gestion du cycle de Gestion du cycle de vievie
Certificate ServerCertificate Server
Cartes à puceCartes à puce
Critères Critères CommunsCommuns
JournalisatiJournalisationon
EvénementsEvénements
FIPSFIPS
Services de cryptographieServices de cryptographie
CAPICAPI CNGCNG
Policy exp.Policy exp.
Traitement X.509Traitement X.509
Support de la nouvelle cryptographie CNG – L’interface OCI (Open Cryptographic Interface) pour WindowsNouvelle infrastructure crypto remplaçant l’API CAPI Nouvelle infrastructure crypto remplaçant l’API CAPI
1.01.0Possibilité d’insérer en mode noyau ou en mode Possibilité d’insérer en mode noyau ou en mode utilisateur :utilisateur :
Algorithmes cryptographiques propriétairesAlgorithmes cryptographiques propriétairesRemplacements des algorithmes cryptographiques Remplacements des algorithmes cryptographiques standardsstandardsKey Storage Providers (KSP)Key Storage Providers (KSP)
Permet la configuration de la cryptographie aux Permet la configuration de la cryptographie aux niveaux de l’entreprise et de la machineniveaux de l’entreprise et de la machineConforme aux exigences des Critères Communs et Conforme aux exigences des Critères Communs et de FIPS pour l’isolation forte et l’auditde FIPS pour l’isolation forte et l’audit
Support un surensemble des algorithmes compris Support un surensemble des algorithmes compris dans CAPI, y compris la crypto à courbe elliptique dans CAPI, y compris la crypto à courbe elliptique (ECDH, ECDSA) et la conformité “Suite-B”(ECDH, ECDSA) et la conformité “Suite-B”Hashes: SHA-2 (256, 384, 512)Hashes: SHA-2 (256, 384, 512)
Le sous-système pour cartes à puce supportera les Le sous-système pour cartes à puce supportera les cartes dual mode (RSA et ECC)cartes dual mode (RSA et ECC)
Contrôle d’accèsContrôle d’accès
Système d’exploitation sécuriséSystème d’exploitation sécurisé
Aperçu du contrôle d’accès dans Windows Vista
Bureau isoléBureau isoléDémarrage Démarrage
sécurisé sécurisé (BitLocker (BitLocker Drive Encryption)Drive Encryption)
AuthentificationAuthentification AutorisationAutorisation
AuthZ AuthZ applisapplis
AzmanAzman
RBACRBAC
Ouverture Ouverture de sessionde session
ProtocoleProtocole
IdentitéIdentité
AuthentificatiAuthentification forteon forte
AuditAudit Gestion des lettres Gestion des lettres de créancede créance
Itinérance des Itinérance des lettres de créancelettres de créance
Gestion du cycle de Gestion du cycle de vievie
Certificate ServerCertificate Server
Cartes à puceCartes à puce
Critères Critères CommunsCommuns
JournalisatiJournalisationon
EvénementsEvénements
FIPSFIPS
Services de cryptographieServices de cryptographie
CAPICAPI CNGCNG
Policy exp.Policy exp.
Traitement X.509Traitement X.509
Architecture WinLogonWindows XP
Session 0Session 0
WinLogonWinLogonGP GP
utilisateutilisateurur
LSALSA
ShellShell
GP GP machinemachine
ProfilsProfils
MSGINAMSGINA
SCMSCM
Autres SessionsAutres Sessions
WinLogonWinLogonGP GP
utilisateutilisateurur
ShellShellMSGINAMSGINA
Architecture WinLogonWindows Vista
Session 0Session 0
WinInitWinInit
RCMRCMLSALSA
Group Group PolicyPolicy
ProfilsProfilsSCMSCM
Autres SessionsAutres Sessions
WinLogonWinLogon
LogonUILogonUICredentiCredenti
al al Provider Provider
11
CredentiCredential al
Provider Provider 22
CredentiCredential al
Provider Provider 33
Credential Providers
Les Credential Providers remplacent GINALes Credential Providers remplacent GINALes Credential Providers s’intègrent à Logon UILes Credential Providers s’intègrent à Logon UI
Logon UI peut interagir simultanément avec Logon UI peut interagir simultanément avec plusieurs credential providersplusieurs credential providersLes Credential Providers peuvent être sélectionnés Les Credential Providers peuvent être sélectionnés par l’utilisateur ou invoqués sur événementpar l’utilisateur ou invoqués sur événement
Par défaut :Par défaut :Mot de passeMot de passeCarte à puceCarte à puce
Credential ProvidersExemple : mot de passe
LSALSAWinLogoWinLogonn
LogonUILogonUI
Credential Credential Provider Provider
InterfacesInterfaces
CredentiCredential al
Provider Provider 22
7. Obtention de 7. Obtention de la lettre de la lettre de
créance pour créance pour l’ouverture de l’ouverture de
sessionsession
1. Ctrl+Alt+Delete1. Ctrl+Alt+Delete
2. Demande 2. Demande lettre de lettre de créancecréance
9. LSALogonUser9. LSALogonUser
5. Clique et entre son 5. Clique et entre son nom d’utilisateur et son nom d’utilisateur et son
mot de passe, puis validemot de passe, puis valide
3. Obtention des 3. Obtention des informations de lettre de informations de lettre de
créancecréance
4. Affiche 4. Affiche interface interface graphiquegraphique
CredentiCredential al
Provider Provider 11
CredentiCredential al
Provider Provider 33
8. Retourne 8. Retourne lettre de lettre de créancecréance
6. Validation 6. Validation reçuereçue
Cartes à puceAvant
Card Reader #1 Card Reader #2
Applications Applications Crypto (IE, Crypto (IE, Outlook)Outlook)
CAPICAPI
Smart Card Smart Card CSP #1CSP #1
Smart Card Smart Card CSP #2CSP #2
Smart Card Smart Card CSP #nCSP #n
Smart Card Resource ManagerSmart Card Resource Manager
Card Reader #3
Applications non Applications non cryptocrypto
SCard APISCard API
Carte à puceDésormais
ApplicationsApplications Crypto Crypto (IE, Outlook)(IE, Outlook)
CAPICAPI
ECC Card ECC Card ModuleModule
RSA/ECC RSA/ECC Card Card
ModuleModule
Smart Card Resource ManagerSmart Card Resource Manager
ApplicationsApplications Non CryptoNon Crypto
SCard APISCard API
Base CSPBase CSP
CNGCNG
Smart Card KSPSmart Card KSP
Card Reader #1 Card Reader #2 Card Reader #3
RSA Card RSA Card ModuleModule
Smart Smart Card Card CSPCSP
Carte à puce
Windows Vista permet l’utilisation des Windows Vista permet l’utilisation des cartes à puce comme moyen unique cartes à puce comme moyen unique d’authentification (élimination des mots d’authentification (élimination des mots de passe si vous le souhaitez)de passe si vous le souhaitez)
Améliorations PKI
Permettre la mise en œuvre de scénarios Permettre la mise en œuvre de scénarios d’applications de PKI de bout en boutd’applications de PKI de bout en bout
Wi-Fi sécurisé, VPN, IPsec, EFS, ouverture de session Wi-Fi sécurisé, VPN, IPsec, EFS, ouverture de session par carte à puce, SSL/TLS, S/MIME et signatures par carte à puce, SSL/TLS, S/MIME et signatures numériquesnumériques
Étendre la gestion du cycle de vie des lettres de Étendre la gestion du cycle de vie des lettres de créancecréanceMontée en charge des services de révocation Montée en charge des services de révocation pour toutes les applicationspour toutes les applications
Client OCSP pour les services de révocation haut Client OCSP pour les services de révocation haut volume / grande vitessevolume / grande vitesse
Support de la cryptographie à courbes elliptiques Support de la cryptographie à courbes elliptiques (ECDH, ECDSA) et conformité “Suite-B”, hashes (ECDH, ECDSA) et conformité “Suite-B”, hashes SHA-2 (256, 384, 512)SHA-2 (256, 384, 512)
Accès sécuriséAccès sécurisé
ProtectionProtectionfondamentalefondamentale
Excellence Excellence de l’ingénieriede l’ingénierie Construit en tenant compte de la Construit en tenant compte de la
sécuritésécurité
Permet un accès plus simple et plus Permet un accès plus simple et plus sécurisé aux informations et sécurisé aux informations et servicesservices
Protection contre les menaces de Protection contre les menaces de sécurité et réduction des risques sécurité et réduction des risques d’interruption de l’activitéd’interruption de l’activité
ContrôleContrôleintégréintégré
Fournit des outils intégrés de Fournit des outils intégrés de gestion et de supervision centraliséegestion et de supervision centralisée
Windows Vista
Exécution plus sécuriséeExécution plus sécuriséeUser Account ProtectionUser Account ProtectionMode protégé d’IE & Anti-Mode protégé d’IE & Anti-
PhishingPhishingDurcissement des servicesDurcissement des servicesCredential Manager/ProviderCredential Manager/Provider
Exécution plus sécuriséeExécution plus sécuriséeUser Account ProtectionUser Account ProtectionMode protégé d’IE & Anti-Mode protégé d’IE & Anti-
PhishingPhishingDurcissement des servicesDurcissement des servicesCredential Manager/ProviderCredential Manager/Provider
Communication plus Communication plus sécuriséesécurisée
Network Access Network Access ProtectionProtection
Intégration pare-feu Intégration pare-feu /IPsec/IPsec
Nouvelle CryptographieNouvelle Cryptographie
Communication plus Communication plus sécuriséesécurisée
Network Access Network Access ProtectionProtection
Intégration pare-feu Intégration pare-feu /IPsec/IPsec
Nouvelle CryptographieNouvelle CryptographieDemeurer plus sécuriséDemeurer plus sécurisé
Anti-logiciels malveillantsAnti-logiciels malveillantsRestart ManagerRestart ManagerContrôle de l’installation des Contrôle de l’installation des
périphériquespériphériquesInfrastructure étendue pour Infrastructure étendue pour
cartes à pucecartes à puce
Demeurer plus sécuriséDemeurer plus sécuriséAnti-logiciels malveillantsAnti-logiciels malveillantsRestart ManagerRestart ManagerContrôle de l’installation des Contrôle de l’installation des
périphériquespériphériquesInfrastructure étendue pour Infrastructure étendue pour
cartes à pucecartes à puce
Démarrage plus sécuriséDémarrage plus sécuriséBitLocker Drive EncryptionBitLocker Drive EncryptionCode IntegrityCode Integrity
Démarrage plus sécuriséDémarrage plus sécuriséBitLocker Drive EncryptionBitLocker Drive EncryptionCode IntegrityCode Integrity
Synthèse sécurité Windows Vista
Accès sécuriséAccès sécurisé
ProtectionProtectionfondamentalefondamentale
Excellence Excellence de l’ingénierie de l’ingénierie
ContrôleContrôleintégréintégré
© 2006 Microsoft Corporation. All rights reserved.© 2006 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.This presentation is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.
L’informatique de confiance
Rendre l’informatique Rendre l’informatique aussi simple et fiable aussi simple et fiable que l’eau ou l’électricitéque l’eau ou l’électricité
Une priorité absolueUne priorité absoluepour Microsoftpour MicrosoftNécessite l’adhésion Nécessite l’adhésion et l’implication de toute et l’implication de toute l’industrie informatiquel’industrie informatique
Changement culturel :Changement culturel :privilégier la sécurité par privilégier la sécurité par rapport aux fonctionnalitésrapport aux fonctionnalités
Interactions Interactions ouvertes et ouvertes et transparentes transparentes avec nos clients avec nos clients
Leadership au Leadership au sein de sein de l’industriel’industrie
Adhésion aux Adhésion aux standards standards ouvertsouverts
Prévisible, Prévisible, cohérent et cohérent et disponibledisponible
Facile à configurer Facile à configurer et à gérer et à gérer
RésilientRésilient
RécupérableRécupérable
ProuvéProuvé
Protéger contre Protéger contre les attaquesles attaques
Protéger la Protéger la confidentialité, confidentialité, l’intégrité des l’intégrité des données et des données et des systèmessystèmes
GérableGérable
Protéger de la Protéger de la divulgation non divulgation non désirée désirée d’informationsd’informations
Control du Control du caractère privé de caractère privé de l’informationl’information
Les produis, les Les produis, les services adhèrent à services adhèrent à des principes de des principes de loyauté en matière loyauté en matière d’informationd’information
La vision de Microsoft de la sécurité …
Etablir la en Etablir la en l’informatique l’informatique
afin de permettreafin de permettrela réalisation du plein potentiel la réalisation du plein potentiel
d’un monde interconnectéd’un monde interconnecté
CONFIANCECONFIANCE
Une plateforme sécurisée renforcée par des produits de Une plateforme sécurisée renforcée par des produits de sécurité, des services et des conseils permettant d’aider sécurité, des services et des conseils permettant d’aider
nos clients à rester hors de dangernos clients à rester hors de danger
Excellence Excellence dans les dans les fondamentauxfondamentaux
Innovations en Innovations en sécuritésécurité
Contenu et outils Contenu et outils basés selon des basés selon des scénariosscénarios
Réponse aux Réponse aux incidentsincidents
Prise de Prise de conscience et conscience et éducationéducation
Collaboration et Collaboration et partenariatpartenariat
Les axes de focalisation
StratégieStratégie
InvestissementsInvestissementstechnologiquestechnologiques
Conseils Conseils prescriptifsprescriptifs PartenariatsPartenariats
Contrôle d’accès Contrôle d’accès et d’identitéet d’identité
Atténuation des menaces Atténuation des menaces et des vulnérabilitéset des vulnérabilités
FondamentauxFondamentaux
Investissements technologiques
GPOsélection de nouveautés intéressantes
Désactiver la stratégie de groupe localeDésactiver la stratégie de groupe localeActions en cas d’horaire d’utilisation dépasséActions en cas d’horaire d’utilisation dépasséGestion des versions précédentes (shadow copies)Gestion des versions précédentes (shadow copies)Carte à puceCarte à puceStratégie de sauvegardeStratégie de sauvegardeChiffrement de disqueChiffrement de disqueWindows Defender (vérifier si nouvelles signatures avant analyse)Windows Defender (vérifier si nouvelles signatures avant analyse)DIMS + PKIDIMS + PKIIEIE
IE MaintenanceIE MaintenanceInterdire tous les logiciels complémentaires sauf s’ils sont dans la liste de ceux autorisésInterdire tous les logiciels complémentaires sauf s’ils sont dans la liste de ceux autorisésAjout de fournisseur de recherche (liste spécifique)Ajout de fournisseur de recherche (liste spécifique)Désactivation de la vérification des paramètres de sécuritéDésactivation de la vérification des paramètres de sécuritéDésactivation de la correction des paramètres de sécuritéDésactivation de la correction des paramètres de sécuritéActivation de la journalisation de compatibilitéActivation de la journalisation de compatibilitéInterdiction de ne pas tenir compte des erreurs de certificatsInterdiction de ne pas tenir compte des erreurs de certificatsZone intranetZone intranet
Niveau de sécurité RDP (TLS ou pas)Niveau de sécurité RDP (TLS ou pas)Restrictions sur l’installation de périphériquesRestrictions sur l’installation de périphériquesServices TPM (dont sauvegarde dans AD)Services TPM (dont sauvegarde dans AD)Prévenir quand le serveur d’authentification n’était pas disponible lors de l’ouverture de Prévenir quand le serveur d’authentification n’était pas disponible lors de l’ouverture de sessionsessionAfficher le dernier logonAfficher le dernier logonBITS (peer caching)BITS (peer caching)Journal des événementsJournal des événements
Centre de sécurité
Règle de pare-feu Windows Vista
DoDo Action = { Action = {By-pass | Allow | BlockBy-pass | Allow | Block} } ifif: : Protocol = Protocol = XX ANDAND,,Direction = {Direction = {In | OutIn | Out} } ANDAND,,Local TCP/UDP Port is in {Local TCP/UDP Port is in {Port ListPort List} } ANDANDRemote TCP/UDP Port is in {Remote TCP/UDP Port is in {Port ListPort List} } ANDAND
ICMP Type Code is in {ICMP Type-Code List}ICMP Type Code is in {ICMP Type-Code List} AND ANDInterface NIC is in {Interface NIC is in {Interface ID listInterface ID list} } ANDAND,,Interface type is in {Interface type is in {Interface types listInterface types list} } ANDAND,,Local Address is found in {Local Address is found in {Address listAddress list} } ANDAND,,Remote Address is found in {Remote Address is found in {Address listAddress list} } ANDAND,,Application = <Application = <PathPath> > ANDAND,,Service SID = <Service SID = <Service Short NameService Short Name> > ANDAND,,Require Authentication = {Require Authentication = {TRUE | FALSETRUE | FALSE} } ANDAND,,Require Encryption = {Require Encryption = {TRUE | FALSETRUE | FALSE} } ANDAND,,Remote User has access in {Remote User has access in {SDDLSDDL} } ANDAND,,Remote Computer has access in {Remote Computer has access in {SDDLSDDL} } ANDAND,,OS Version is in {OS Version is in {Platform ListPlatform List}}
Liens
Pare-feu Windows VistaPare-feu Windows Vista http://www.microsoft.com/technet/comhttp://www.microsoft.com/technet/community/columns/cableguy/cg0106.mspxmunity/columns/cableguy/cg0106.mspx
UACUAChttp://www.microsoft.com/technet/windhttp://www.microsoft.com/technet/windowsvista/security/uacppr.mspxowsvista/security/uacppr.mspx
Top Related