1 Renforcer la Sécurité du poste de travail avec

1

Renforcer la Sécurité du poste de travail avec

2

Qu’est ce que ?

• Un site Web très orienté technique– http://www.microsoft.com/france/technet/default.mspx

• Une newsletter personnalisable– http://www.microsoft.com/france/technet/presentation/flash/default.mspx

• Des séminaires techniques toute l’année, partout en France– http://www.microsoft.com/france/technet/seminaires/seminaires.mspx

• Des webcasts et e-démos accessibles à tout instant– http://www.microsoft.com/france/technet/seminaires/webcasts.mspx

• Un abonnement– http://www.microsoft.com/france/technet/presentation/cd/default.mspx

3

Logistique

Pause en milieu de session

Vos questions sont les bienvenues.N’hésitez pas !

Feuille d’évaluation à remettre remplie en fin de session

Commodités

Merci d’éteindre ou de mettre en mode vibreur vos téléphones

4

Agenda

• Introduction générale Windows Vista• Sécurité et Windows Vista• En détail

– Résilience du système– Fonctions anti-malware– User Account Control & niveaux d’intégrité– Fonctions réseaux– Internet Explorer 7.0– Protection des informations– Cryptographie

• Synthèse• Questions & Réponses

5

Agenda



• Synthèse & feuille de route de Windows Vista• Questions & Réponses

6

Les coûts de déploiement, d’administration et de sécurisation

augmentent

Les défis d’aujourd’huiProductivité, coûts, sécurité

Les employés gèrent une information croissante, non structurée mais doivent être plus productifs en équipe ou en déplacement.

Les menaces et risques du Système d’Information augmentent (confidentialité, logiciels malveillants, ..)

7

Les objectifs de Windows Vista

MobilitéPermettre aux utilisateurs de travailler en tout lieu comme au bureau

Recherche, Organisation, Partage Proposer une solution globale de

stockage, gestion et recherche de l’information

De nouveaux usages pris en compte

Sécurité des données et du système

Des fondamentaux renforcés

Sécurité

Déploiement et administrationRéduction des coûts et de la complexité du déploiement

Coûts

Applications connectées Permettre la mise en œuvre

d’architecture Smart Client, XML

Une plate-forme applicative puissante

Productivité

8

Les versions de Windows Vista

Pour la maison Pour l’entreprise

http://www.microsoft.com/windowsvista/versions/default.mspx

9

Agenda




10

Security Development Lifecycle Processus de développement de Windows Vista

• Processus amélioré de Security Development Lifecycle (SDL) pour Windows Vista– Formation périodique obligatoire à la

sécurité– Assignation de conseillers en sécurité pour

tous les composants– Modélisation des menaces intégré à la

phase de conception– Revues de sécurité et tests de sécurité

inclus dans le planning– Mesures de la sécurité pour les équipes

produit• Certification Critères Communs (CC)

11

Windows Vista et la sécurité• Résilience du système

– Intégrité du code– Renforcement des services Windows– Contrôle de l’usage des périphériques– Security Center – Mise à jour du système

• Fonctions anti-malware– Windows Defender– Malicious Removal Tool

• Fonctions réseaux– Nouveau Pare-feu Windows– Client Network Access Protection (NAP)– IPv6, IPSec

• User Account Control (UAC)

• Internet Explorer 7– Anti-phishing– Mode protégé

• Démarrage sécurisé et chiffrement intégral de volume (BitLocker)

Amélioration de la résistance du système

par réduction de la surface et des

vecteurs potentiels d’attaques.

+Protection des

données et informations de

l’utilisateur

12

Agenda




13

Code Integrity• Code Integrity protège les fichiers du système d’exploitation lorsque celui-ci est en cours

d’exécution– Signature de tous les exécutables et DLL du système d’exploitation– Vérification de la validité des signatures lors du chargement en mémoire

• Le but est ici de s’assurer qu’un logiciel malveillant ne remplace pas un fichier du système d’exploitation ou n’injecte pas un pilote non signé afin de compromettre une partie du système d’exploitation

• Binaires vérifiés (hash vérifié):– Ceux chargés en mode noyau (tout le binaire)– Ceux chargé dans un processus protégé - un seul : Media Foundation PMP (par page)– Les DLL installées par le système qui implémentent des fonctions cryptographiques (par page)

• En cas d’échec de la vérification– Comportement dicté par la politique CI– System Recovery gère les échecs pour les fichiers nécessaires au boot– Si échec de vérification d’une page en mode utilisateur, exception levée qui résulte souvent en l’échec

de l’application– Enregistrement d’événements dans

Event Viewer / Application Logs / Microsoft / Windows / CodeIntegrity

14

Renforcement des services Windows

Réduire la taille des couches à haut risque

Admin

Services

DDD

Utilisateur

Noyau

D Pilotes en mode noyau

Service 1

Service 2

Service 3

Service …

Service …

Services restreints

Programmes avec droits restreints

D DD

Segmenter les services

Augmenter le nombre de couches

Service A

Service B

D Pilotes en mode utilisateur

15

Durcissement des services Windows

• Établissement d’un profil pour les services Windows indiquant les actions autorisées pour le réseau, le système de fichiers et le registre

• Conçu pour bloquer les tentatives de détournement d’un service Windows pour écrire à un endroit qui ne fait pas partie du profil du service

• Réduit le risque de propagation d’un logiciel malveillant (ex: Blaster, Sasser…)

Durcissement de services

Système de fichiers

Registre

Réseau

16

Services restreints• Service restreint :

– Privilèges nécessaires– Règles réseau

• Le SCM, au démarrage du service :– Calcule le SID du service :

• S-1-80-{SHA-1 du nom du service}– Crée un jeton restreint (par le SID de service) et ne contenant

que les privilèges nécessaires

• Permissions explicites sur le SID du service : registre, fichiers

• Rend possible l’utilisation des comptes LocalService et NetworkService et les permissions supplémentaires si besoin

17

Contrôle de l’usage des périphériques

• Ajouter la prise en charge de périphériques et autoriser ou interdire leur installation– Les pilotes approuvés par le service informatique peuvent être ajoutés dans le

Trusted Driver Store (staging) – Les Driver Store Policies (stratégies de groupe) déterminent le comportement

pour les packages de pilote qui ne sont pas dans le Driver Store. Par exemple :• Pilotes qui ne sont pas aux standards de l’entreprise• Pilotes non signés

– Ces stratégies sont désactivées par défaut en raison des risques inhérents aux pilotes arbitraires

• Le Driver Store est un entrepôt de confiance sur chaque machine cliente• Une fois qu’un pilote est ajouté au Driver Store par un administrateur, il peut

être installé quelles que soient les permissions de l’utilisateur qui a ouvert une session

18

Driver Package Integrity• Changements dans l’implémentation de la signature des

pilotes

• Les administrateurs doivent être en mesure de savoir :– Qui a publié un package d’installation de pilote– Que le package d’installation de pilote n’a pas été altéré depuis qu’il

a été publié

• Les administrateurs peuvent finalement signer les pilotes, et définir une politique pour faire confiance à ce qu’ils ont signé

• Les pilotes signés par un éditeur de confiance peuvent être installés par les utilisateurs standards

19

Stratégie de groupeInstallation de périphériques

20

Windows Security Center• Vérification de l’état des mises à jour• Protection contre les malwares (anti-virus et anti-spywares)• Détection du pare-feu• Contrôle de l’activation d’UAC• Vérification du bon paramétrage d’Internet Explorer 7.0

21

Rendre plus facile la gestion des correctifs

Moins de correctifs, plus petite taille

Outil commun d’analyse

Application directe des correctifs à une image

Moins de redémarrages

Mise à jour automatique pour tout

Expérience avec les mises à jour : cohérence et fiabilité

Moins d’interruption de l’utilisateur

Moins de temps nécessaire pour les administrateurs

22

Restart Manager• Nouvelle API pour diminuer le nombre de

redémarrages liés à l’application de correctifs de sécurité

• Exemple : les applications Office 2007 tirent parti des API de notifications d’arrêt et de redémarrage– permet la récupération de l’état et du document après un

redémarrage applicatif

ShutdownAPI

Sauvegarde du fichier de travail, des états

Fermeture de l’application

Restart API

Redémarrage de l’application

Reprend le fichier de travail, les états

23

Agenda


– Résilience du système– Fonctions anti-malware– User Account Control & niveaux d’intégrité– Fonctions réseaux– Internet Explorer 7.0– Protection des informations– Authentification et cryptographie


24

Anti-malware et Windows Vista• Windows Vista n’intègre pas de protection antivirus en temps réel.

Cependant, Windows Vista inclut Windows Defender et utilise l’outil de suppression des logiciels malveillants (MSRT).

• Les cellules en vert indiquent ce qui est inclus dans le système d’exploitation

Analyse et supprime Protection en temps réel

Traite les spywares (et potentiellement les logiciels non désirés)

Windows Defender Windows Defender

Traite les virus, vers ou chevaux de Troie

MSRT(Malicious Software

Removal Tool)

Produits tiers, OneCare, Microsoft Forefront Client

Security

25

Fonctions intégrées anti-malware• Windows Defender

– Fonctions intégrées de détection, nettoyage, et blocage en temps réel des spywares (dont intégration avec Internet Explorer pour fournir une analyse anti-spyware avant téléchargement)• 9 agents de surveillance• Système de scan rapide intelligent

– Ciblé pour les consommateurs (pas de fonctions de gestion en entreprise)

– La gestion en entreprise est possible avec le produit payant séparé Microsoft Client Protection

– Mise à jour via Microsoft Update

• MRT (Malicious software Removal Tool) intégré permet de supprimer virus, bots, et chevaux de Troie pendant une mise à jour et sur une base mensuelle

27

Agenda


– Résilience du système– Fonctions anti-malware– User Account Control & niveaux d’intégrité– Fonctions réseaux– Internet Explorer 7.0– Protection des informations– Authentification et cryptographie


28

Objectifs d’UAC (User Account Control)

• Tous les utilisateurs s’exécutent comme des utilisateurs standards même s’ils sont administrateurs– Tâches courantes revues pour fonctionner en tant qu’utilisateur standard– Ne concerne que le logon interactif

• Les administrateurs n’utilisent leurs privilèges que pour les tâches ou applications administratives

• L’utilisateur fournit un consentement explicite avant d’utiliser des privilèges élevés

• Haute compatibilité des applications. Les installateurs d’applications sont détectés. Les applications nécessitant des privilèges « admin » peuvent être marquées comme telles

30

Meilleure expérience des utilisateurs standards• Corriger / supprimer les contrôles administratifs inappropriés

– Exemple typique : l’horloge système– Ajout d’imprimante, d’autres périphériques, changement de fuseau

horaire, défragmenteur, options d’alimentation, ajout d’une clé WEP/WPA…

– Cacher certains éléments de l’interface si l’utilisateur n’est pas administrateur

• Utilisateur standard par défaut lors de la création

• Le bouclier indique une tâche nécessitant une élévation immédiate de privilèges.

32

2 jetons pour un administrateurJeton restreint par défaut

Privilèges d’un utilisateur standard

Jeton completPrivilèges d’un administrateur

Consentement par défaut

33

Compatibilité avec UAC• Problème : applications qui ne fonctionnent pas correctement

sans privilèges élevés

• Virtualisation– Écriture : redirige les écritures « par machine » (disque, registre) vers

le profil utilisateur• Program Files, HKLM

– Lecture : essaie de lire depuis le profil utilisateur en premier

• Outil : Microsoft Standard User Analyzer– Identifie les appels (API) qui ne fonctionneraient pas en tant

qu’utilisateur standard– Identifie les accès requérant un privilège administrateur– http://www.microsoft.com/downloads/details.aspx?FamilyID=df59b474

-c0b7-4422-8c70-b0d9d3d2f575&DisplayLang=en

http://www.microsoft.com/downloads/details.aspx?FamilyID=df59b474-c0b7-4422-8c70-b0d9d3d2f575&DisplayLang=en

http://www.microsoft.com/downloads/details.aspx?FamilyID=df59b474-c0b7-4422-8c70-b0d9d3d2f575&DisplayLang=en

34

Configuration d’UAC• Secpol.msc, Local Policies, Security Options• 6 paramètres pour configurer l’activation (ou la

désactivation), le comportement, le contrôle des signature et la virtualisation

35

Mécanisme d’isolation / protection des processus• UI Privilege Isolation (UIPI) permet d’empêcher les

applications d’administration et l’interface homme – machine de consentement, d’être scriptées, usurpées, attaquées (via des shatter attacks).

• Mandatory Integrity Control (MIC) fournit une protection au niveau SID des attaques réalisées par les processus s’exécutant avec un jeton UAC contenant le même user SID – Dans ce cas, les ACL existantes ne seraient pas suffisants

(écriture arbitraire en mémoire, injection de threads, etc).

36

Mandatory Integrity Control (MIC)Isolation des processus• Processus à différents niveaux

sur le même bureau• Le niveau de privilège (admin,

UAC) détermine le niveau d’intégrité

• Intégrité ~ confiance• Isole les interactions

spécifiques entre les niveaux de privilège– Bas ne peut pas écrire dans

haut• Blocage à la frontière des

niveaux d’intégrité– Attaques Shatter– Injection de DLL

• Compatibilité applicative inchangée au même niveau d’intégrité

IE

Word PPT

Console AV CPL

ServiceSystème

Système

Admin

Utilisateur/UAC

Limité

exe téléchargé

+ intègre

Niveau

d’in

tégrité

- intègre

37

Isolation des processus

• Deux jetons pour un administrateur : complet et restreint– Les deux ont le même SID utilisateur– Le niveau d’intégrité (IL) est ajouté aux jetons pour les isoler

(c’est un SID de la forme S-1-5-40-<niveau>)– Les IL sont obligatoires et ne peuvent pas être changés durant

leurs cycles de vie

• Les processus LUA ont un niveau d’intégrité inférieur et ne peuvent pas– Effectuer une élévation de privilèges en modifiant des processus

PA– Envoyer des messages à des fenêtres d’un processus PA… ou

des fenêtres de n’importe quel processus d’un niveau d’intégrité supérieur

• Le processus LUA peut lire des données appartenant au processus PA (le but premier est de protéger contre l’écriture / la modification)

38

Synthèse UAC, MIC, UIPI

• User Account Control : changer les bases du système – Corriger le système pour qu’il fonctionne correctement lorsqu’on

est utilisateur standard • Corriger / supprimer les vérifications administratives inappropriées

(ex : affichage de l’horloge)• Faire en sorte que même les administrateurs exécutent leurs

applications en tant qu’utilisateur avec moindre privilège– Fournir une méthode sécurisée pour exécuter certaines

applications dans un contexte de privilèges élevés• Indiquer clairement que les actions ont alors un impact sur la

machine tout entière• Nécessite que les applications non-UAC soient marquées

– Virtualisation du registre et des fichiers pour permettre la compatibilité

• Mandatory Integrity Control (MIC) / UIPI : isoler les processus

39

Agenda




40

Améliorations du pare-feu Windows• Filtrage entrant et sortant avec tables d’état pour IPv4 et IPv6

– Règles par défaut configurables : • Les flux entrants sont bloqués / Les flux sortants sont autorisés

• Règles pour les programmes en utilisant le chemin ou le nom de service• Restrictions sur les services

– filtrage basé sur les SID de services

• Granularité de la politique de sécurité réseau de l’hôte– Autoriser, Bloquer, autoriser si politiques sécurisées– Exceptions sur les utilisateurs ou les groupes

• Profils de politique selon la position– Profil de domaine et profil standard– La connectivité au domaine est authentifiée

• Nouveaux algorithmes cryptographiques– Chiffrement : AES-128, AES-192, AES-256– Échange de clés : ECDH P-256, ECDH P-384

41

Administration du pare-feu• Gestion combinée d’IPSec et du pare-feu

– Nouvelle console d’administration MMC 3.0 (Windows Firewall with Advanced Security)

– Nouvelles commandes en ligne (netsh advfirewall)• Politique de protection simplifiée

– Simplifie le nombre d’exemptions IPSec nécessaires dans un déploiement de grande ampleur

• Gestion à distance

42

Segmentation dynamique basée sur une politique

Défiance

Ordinateur non géré ou intrus

Isolation de domaine

Contrôleur de domaine Active Directory

X

Isolation de serveur

Serveurs avec des données

sensibles

Poste de travail RH

Ordinateur géré

X

Ordinateur géré

Serveur de ressources de

confiance

Réseau d’entreprise

Définition des frontières de l’isolation logiqueDistribution des politiques et lettres de créanceLes ordinateurs gérés peuvent communiquerBlocage des connexions entrantes depuis

des machines non géréesAccès compartimenté aux ressources sensibles

43

Network Access Protection• Objectifs : vérification de la conformité des postes lors de

leur connexion au réseau de l’entreprise et mise en quarantaine en cas de non respect des standards imposés par la politique sécurité de l’entreprise

• Aperçu de NAP– Validation vis à vis de la politique : détermine si oui ou non les

machines sont conformes avec la politique de sécurité de l’entreprise. Les machines conformes sont dites “saines” (ou « en bonne santé »)

– Restriction réseau : restreint l’accès au réseau selon l’état de santé des machines

– Mise à niveau : fournit les mises à jour nécessaires pour permettre à la machine de devenir “saine”. Une fois “en bonne santé”, les restrictions réseau sont levées

– Maintien de la conformité : les changements de la politique de sécurité de l’entreprise ou de l’état de santé des machines peuvent résulter dynamiquement en des restrictions réseau

44

Demande d’accès ?Voici mon nouveau status

Est ce que le client doit être restreint en fonction de son status?

En accord avec la politique, le client n’est pas à jour. Mise en quarantaine et demande au client de se mettre à jour

Puis je avoir accès ?Voici mon status actuel

En accord avec la politique, le client est à jourAccès autorisé

NAP : principe de fonctionnement

Network PolicyServer

Client

Network Access Device

(DHCP, VPN)

Remediation Servers

(antivirus, système de maj de correctifs…)

Mise à jour du serveur IAS avec les politiques

en cours

Vous avez droit à un accès restreint tant que vous n’êtes pas à jour

Puis je avoir les mises à jour ?

Les voici

Réseau de l’entreprise

Réseau restreint (quarantaine)

Le Client obtient l’accès complet à l’Intranet

System Health Servers

(défini les pré requis du client)

System Health ValidatorsMicrosoft et 3rd Parties

Quarantine Server

System Health AgentsMicrosoft et 3rd Parties(AV/Patch/FW/Other)

Quarantine Agent

Quarantine Enforcement ClientMicrosoft et 3rd Parties

DHCP/VPN/IPsec/802.1x

45

Nouveautés Wifi dans VistaObjectifs

Sécurité Support des standards les plus sécurisésProtège des attaques les plus courantesSupport des solutions de sécurité non standards

Administration Stratégies de groupesLigne de commande

Réduction des coûts

Diagnostics : réduisent la charge du supportFiabilité améliorée grâce à l’architecture native Wi-fi

46

Sécurité Wifi de Windows Vista• Niveau de standards de sécurité le plus élevé

– WPA2 (802.11i), WPA, 802.1x– PEAP MSCHAPv2 (défaut dans Vista), PEAP-TLS, EAP-

TLS

• Réseau ad-hoc sécurisé– WPA2-PSK

• Extensibilité EAPHost– Permet des méthodes EAP tierces

• Gestion par stratégies de groupe et ligne de commande

• Support de Network Access Protection (NAP)

47

Vulnérabilités wi-fi prises en compte

• Liste des réseaux préférés non diffusée

• Utilisateurs novices protégés– Réseaux non protégés clairement indiqués– L’assistant de création d’un réseau choisit par

défaut le niveau de sécurité le plus élevé en fonction de la carte

• Des réseaux et types de réseaux spécifiques peuvent être bloqués / autorisés

48

Stratégies de groupe pour le wi-fi

• Déploiement simplifié– Support d’environnements de sécurité Wi-fi mixtes– Séparation du 802.1x sur câble et sans fil

• Gestion granulaire– Listes autorisations / interdictions– WPA2, WPA, WEP, EAP-TLS, PEAP-MSCHAPv2, etc.– Support des réseaux cachés– Connectivité manuelle / automatique

• Expérience utilisateur améliorée

• Extensibilité– Pour les paramètres spécifiques aux fournisseurs de matériel

49

Ligne de commande (Netsh)

Wireless Commands

• add profile• add filter• show profiles• show filters• show settings• show interfaces• delete profile• delete filter• set preferenceorder• set autoconfig• set blockednetworks• export profile• dump

Wired Commands

• add profile• show profiles• show settings• show interfaces• delete profile• set autoconfig • export profile

50

51

Agenda




52

Fonctionnalités de sécurité d’IE7• Défense contre les vulnérabilités

– Consentement explicite pour l’exécution des ActiveX– Parsing unifié des URL– Amélioration de la sécurité inter-domaines– Amélioration de la qualité du code pour réduire le nombre de buffer

overruns– Mode protégé (Windows Vista seulement)

• Défense contre les téléchargements et les sites web trompeurs– Analyse des téléchargements au moyen de Windows Defender– Filtre anti-phishing– Sécurisation du paramétrage par défaut pour le support des IDN

(International Domain Names)– Haut niveau d’assurance SSL et barre d’adresses– Alerte en cas de paramétrage dangereux– Contrôle parental (Windows Vista seulement)

53

Filtre anti-phishingFournit 3 « contrôles » pour protéger les utilisateurs du phishing :

1. Compare le site Web avec une liste de site légitimes connus localement2. Examine la page Web grâce à une heuristique afin de détecter les

caractéristiques communes des sites de phishing3. Contrôle le site par rapport à un service Microsoft en ligne qui signale

les sites connus pour leurs activités de phishing mis à jour plusieurs fois chaque heure

54

Blocage synchrone dans IEContrôles ActiveX

I nternet Vérification Locale Exécution de Code

User downloads EXE from Internet

IE InfobarIE Trust Prompt

Execution canceled

User visits site that needs an

ActiveX Control

Cancel

Cancel

Known Bad Detected

WD Prompt

Remove

Yes

Yes

Unclassified software warning

Unknown Spyware removed

ActiveX Control Installs

Remove

Safe/Allowed continues running

Allow

UAC Consent

Deny

PermitInstall No

Ignore

55

Choix explicite des ActiveX à exécuter

• Problématique :– Les contrôles ActiveX peuvent exposer des fonctions dangereuses et

présenter des vulnérabilités exploitables par n’importe quelle page Web

• Solution :– Les contrôles ActiveX préinstallés demanderont l’autorisation de

s’exécuter lors de leur première utilisation, de même que les contrôles téléchargés

– Les utilisateurs peuvent lancer IE avec tous les add-ons désactivés (y compris les BHO)

56

Mode Protégé• Construit notamment sur la notion de Mandatory Integrity

Control– Internet Explorer s’exécute à un niveau d’intégrité bas

• Permet de réduire la sévérité des menaces sur les add-ons d’IE

• Elimine les installations de code malfaisant sous couvert de vulnérabilités logicielles

• Préserve la compatibilité là où c’est possible– Fournit les possibilités et la documentation pour permettre de

restaurer les fonctionnalités des add-ons

• Minimise l’intervention de l’utilisateur

57

Mode protégé d’Internet Explorer

• S’appuie sur UAC/MIC pour protéger les données et paramètres de l’utilisateur

• Fait tourner Internet Explorer en mode lecture seule dans la Zone Internet, à l’exception du répertoire Temporary Internet Files

• Bloque la possibilité pour les logiciels malveillants de supprimer des données de l’utilisateur, de détourner des paramètres du navigateur, ou d’ajouter quoi que ce soit dans le dossier de démarrage de l’utilisateur sans son consentement

58

Agenda




59

Protection de l’information• Les besoins métier :

– Les documents doivent être protégés quel que soit l’endroit où « ils voyagent »

– Les données sur les partages doivent être chiffrées pour les protéger contre des accès non autorisés

– Les biens des entreprises tels que les PC portables ou les serveurs en agence doivent être protégés contre une compromission physique

• Solution = RMS, EFS, BitLocker– Définition d’une politique de sécurité et obligation de respecter cette

politique faite au niveau de la plateforme– Chiffrement des fichiers par utilisateur– Chiffrement de disque reposant sur des mécanismes matériels

60

Chiffrement de disque avec BitLocker• Conçu spécifiquement pour empêcher un

voleur qui démarrerait un autre OS ou exécuterait un outil de hacking pour casser les protections système et fichiers de Windows

• Fournit une protection des données sur les systèmes clients Windows, même quand le système est entre des mains non autorisées ou exécute un système d’exploitation différent

• Utiliser un module TPM 1.2 pour le stockage de clé

• Scénarios– Vol de PC– Déploiement serveur d’agence– Recyclage de PC

61

BitLocker : concepts • Chiffrement de la partition entière au niveau secteur

– Protection des fichiers système et fichiers temporaires, des fichiers d’hibernation et de swap, etc…

• Authentification de l’OS par TPM permet l’accès à la clé de chiffrement– TPM Version 1.2 (www.trustedcomputinggroup.org)

• La clé de chiffrement est scellée pour le loader autorisé– Seul le « bon » OS peut déverrouiller l’accès– Démarrage sécurisé (Secure Startup)

• Renforcement de la protection par deux facteurs– TPM + code PIN– TPM + clé USB

• Mode sans TPM– Clé USB seule

• Protection des données en mode déconnecté, mais perte de la notion de Secure Startup

http://www.trustedcomputinggroup.org/

62

Chiffrement de disque avec BitLocker• Chiffrement secteur par secteur

– Tailles 512, 1024, 2048, 4096, ou 8192 octets • Avec une clé FVEK (Full Volume Encryption Key)

– 256 bits– Protégée par la VMK (appelée aussi SRK)

• Méthode– AES 256 en mode CBC avec une diffusion supplémentaire

• Protection de la clé de chiffrement – par TPM (Trusted Platform Module) seulement– par clé USB seulement (machines sans TPM) – par TPM + code PIN– par TPM + clé USB

63

Facilité d’utilisation vs sécurité

Sécurité

Fac

ilité

d’u

tilis

a ti o

n

TPM Seul« Ce que c’est »Protège contre : Attaque logiciel

seulVulnérable à :

attaques matérielles (y compris des

attaques potentiellement

« faciles »)

TPM + PIN« Ce que vous

savez »Protège contre : De

nombreuses attaques hardwareVulnérable à : des

attaques pour casser le TPM

Dongle Seul« Ce que vous

avez » Protège contre :

Toutes les attaques hardware

Vulnerable à : Perte du dongleAttaque pre-OS

TPM + Dongle« Deux choses

que je possède »Protège contre : De nombreuses

attaques hardware

Vulnerable à : des attaques hardware

*******

64

La partition Windows contient Le système d’exploitation

chiffré Le fichier de pagination

chiffré Les fichiers temporaires

chiffrés Les donnée chiffrés Le fichier d’hibernation

chiffré

L’organisation du disque et le stockage des clés

Boot La partition de Boot contient :MBR, Loader, utilitaires de boot(Non chiffrée, petite)

Où sont les clés de chiffrement ?1.SRK (Storage Root Key) contenu dans le

TPM

2.La SRK chiffre la VEK (Volume Encryption Key) protégé par TPM / PIN / Dongle

3.La VEK est stockée (chiffrée par la SRK) sur le disque dur dans la partition de bootVEK

2

3

Windows

1

65

Architecture SRTM des premiers composants de l’amorçage

Le « blob » du volume de l’OS cible est déverrouillé

Tous les « blobs » nécessaires pour l’amorçage sont

déverrouillés

Démarrage de l’OS

BootSector

BootManager

Démar-rage de

l’ OSOS Loader

BootBlock

Avant l’OS

BIOS

MBR

TPM Init

66

Démarrage sécurisé - Bitlocker

67

Chiffrement de disque avec BitLocker Group Policy et récupération

• Machine hors domaine– Récupération se fait par mot de passe sur fichier/imprimante, ou

par clé USB – L’utilisateur contrôle sa stratégie de récupération• Machine dans un domaine Active Directory

– Group Policy permet de contrôler• Activation de BitLocker Drive Encryption• Sauvegarde du mot de passe de récupération dans AD

• La VMK est protégée– Par le mécanisme principal

• TPM (y compris TPM+PIN) ou TPM+Clé USB– Par les mécanismes de récupération

• Mot de passe• Clé USB

• Les « blobs » sont stockés en tant que métadonnées sur la partition système (la partition non chiffrée)

68

Récupération du Secure Startup

Accès réseau via AD

Fonctionnalité mise en service

Séquestre de la clé (par

exemple via AD)

L’utilisateur casse son

PC portable

Le disque dur de

l’ancien PC va dans le nouveau

Secure Startup Recovery Key

Please enter your Secure Startup Recovery Key.

CancelOk

x

Alert: Secure Startup Recovery

Secure Startup Recovery has failed.

You will not be able to start up your computer nor access your data. Your hard drive will remain encrypted until you can provide either the recovery media or your recovery key.

Close

x

**** **** **** ****

Secure Startup Recovery Mode

You have successfully recovered your data.

The recovery process is complete.

Close

x

L’utiliateur appelle son administrateur à l’aide L’administrateur récupère la clé de

récupération de l’utilisateur et lui donne après avoir vérifié son

identité

69

Chiffrement du système de fichiers par utilisateur

Chiffrement de disque basé sur le matériel

Synthèse RMS, EFS et BitLocker Protection des données dans Windows Vista

Rights ManagementServices

Encrypted FileSystem

BitLocker

Définition et respect d’une politique

70

Scénarios BitLocker EFS RMS

Portables X

Serveur d’une succursale X

Protection locale de fichiers et dossiers pour un seul utilisateur

X

Protection locale de fichiers et dossiers pour un plusieurs utilisateurs

X

Protection distante de fichiers et dossiers X

Administrateur réseau de défiance X

Respect à distance de la politique pour un document

X

Quelle fonctionnalité utiliser ?De qui cherchez-vous à vous protéger ?• D’autres utilisateurs ou administrateurs de la machine ? EFS• D’utilisateurs non autorisés avec un accès physique à la machine? BitLocker

Certains cas peuvent se chevaucher (par ex. plusieurs utilisateurs itinérants avec des administrateurs réseau de défiance)

71

Comparaison des technologiesBitLocker EFS RMS

Chiffrement AES 128 AES 128 AES 128

Données Blocs Fichiers Défini par l’application; document ou email

Stockage de clés Identité TPM + logiciel, Dongle, Fichier

Logiciel, carte à puce Logiciel obscurci

Protège quoi ? Windows et données Répertoires et fichiers Confidentialité et usage des documents

Protège qui ? Le propriétaire et l’utilisateur de la machine

Les utilisateurs Les propriétaires de documents

Gestion de clés TPM, Dongle Logiciel, carte à puce RMS

Protection Locale, distante Locale, distante Distante

Scénario type Portable perdu ou volé PC multiutilisateur Partage de document protégé

Scenario type pour l’administrateur

Bit Chipping Contrôle riche de l’usage d’EFS sur les PC de l’entreprise, via GPO

Établir une politique d’entreprise de gestion de l’information

L’admin peut tout ? Oui Non* Non

Supporte d’autres mécanismes de sécurité

Oui Oui* Non

Mécanisme de récupération de données

Dongle, Fichier, AD, entrée manuelle de la clé

Politique locale ou AD Politique du serveur RMS

72

Agenda




73

Améliorations PKI

• Permettre la mise en œuvre de scénarios d’applications de PKI de bout en bout– Wi-Fi sécurisé, VPN, IPsec, EFS, ouverture de session par carte à

puce, SSL/TLS, S/MIME et signatures numériques

• Étendre la gestion du cycle de vie des lettres de créance

• Montée en charge des services de révocation pour toutes les applications– Client OCSP pour les services de révocation haut volume / grande

vitesse

74

CryptoAPIv1 (CAPI)• Algorithmes

– AES128, AES192, AES256, 3DES, DES, RC2, RC4– RSA, DH, DSA– SHA1, HMAC-SHA1, MD5, HMAC-MD5, MD4, MD2

There are 15 providers:Type 01 - Gemplus GemSAFE Card CSP v1.0Type 01 - Infineon SICRYPT Base Smart Card CSPType 01 - Microsoft Base Cryptographic Provider v1.0Type 13 - Microsoft Base DSS and Diffie-Hellman Cryptographic ProviderType 03 - Microsoft Base DSS Cryptographic ProviderType 01 - Microsoft Base Smart Card Crypto ProviderType 18 - Microsoft DH SChannel Cryptographic ProviderType 01 - Microsoft Enhanced Cryptographic Provider v1.0Type 13 - Microsoft Enhanced DSS and Diffie-Hellman Cryptographic ProviderType 24 - Microsoft Enhanced RSA and AES Cryptographic Provider (Prototype)Type 05 - Microsoft Exchange Cryptographic Provider v1.0Type 12 - Microsoft RSA SChannel Cryptographic ProviderType 01 - Microsoft Strong Cryptographic ProviderType 01 - Schlumberger Cryptographic Service ProviderType 01 - Windows for Smart Cards Cryptographic Service Provider

Microsoft Enhanced RSA and AES Cryptographic Provider (Prototype): RC2, Key sizes = 128 (def), 40, 128, Protocols supported 0x00000000 RC4, Key sizes = 128 (def), 40, 128, Protocols supported 0x00000000 DES, Key sizes = 56 (def), 56, 56, Protocols supported 0x00000000 3DES TWO KEY, Key sizes = 112 (def), 112, 112, Protocols supported 0x00000000 3DES, Key sizes = 168 (def), 168, 168, Protocols supported 0x00000000 SHA-1, Key sizes = 160 (def), 160, 160, Protocols supported 0x00000020 MD2, Key sizes = 128 (def), 128, 128, Protocols supported 0x00000020 MD4, Key sizes = 128 (def), 128, 128, Protocols supported 0x00000020 MD5, Key sizes = 128 (def), 128, 128, Protocols supported 0x00000020 SSL3 SHAMD5, Key sizes = 288 (def), 288, 288, Protocols supported 0x00000000 MAC, Key sizes = 0 (def), 0, 0, Protocols supported 0x00000000 RSA_SIGN, Key sizes = 1024 (def), 384, 16384, Protocols supported 0x00000030 RSA_KEYX, Key sizes = 1024 (def), 384, 16384, Protocols supported 0x00000030 HMAC, Key sizes = 0 (def), 0, 0, Protocols supported 0x00000000 AES 128, Key sizes = 128 (def), 128, 128, Protocols supported 0x00000000 AES 192, Key sizes = 192 (def), 192, 192, Protocols supported 0x00000000 AES 256, Key sizes = 256 (def), 256, 256, Protocols supported 0x00000000

75

Crypto Next Generation (CNG)• Refonte du moteur de chiffrement

– Remplacement à long terme et progressif de CAPI 1• Permettre la mise en œuvre et l’utilisation de la crypto

d’une manière plus « agile »– Facilité d’introduire de nouveaux algorithmes– Facilité de remplacer des implémentations d’algorithmes

par de nouvelles implémentations

Les algorithmes et implémentations dépendent de l’environnementSecteur public, Secteur privé, Défense, Politique, Géographie

La sureté des algorithmes et implémentations s’altère avec le tempsMD5 -> SHA1 -> SHA2

RSA -> ECC

76

Support de la nouvelle cryptographie CNG – L’interface OCI (Open Cryptographic Interface) pour Windows

• Nouvelle infrastructure crypto remplaçant l’API CAPI 1.0

• Possibilité d’insérer en mode noyau ou en mode utilisateur :– Algorithmes cryptographiques propriétaires– Remplacements des algorithmes cryptographiques standards– Key Storage Providers (KSP)

• Permet la configuration de la cryptographie aux niveaux de l’entreprise et de la machine

• Le sous-système pour cartes à puce supportera les cartes dual mode (RSA et ECC)

77

Crypto Next Generation• Supporte de base un sur-ensemble des algorithmes déjà

offerts par les CSP MS de CAPI 1– Chiffrement symétrique et asymétrique, hachage, RNG, échange

de clé, signature– Support PKCS#1 v2.1 pour le wrapping des clés privées– Exposant public RSA > 32 bits

• Chiffrement à courbe elliptique et hachage renforcé– ECDH (échange de clé), ECDSA (signature)

• Courbes NIST P-256, P-384, P-521• Implémentation MS Research

– SHA-2 (256, 384, 512)– Conforme aux exigences des Critères Communs et de FIPS pour

l’isolation forte et l’audit– Conformité Suite-B et recommandations gouvernements pays

OTAN (http://www.nsa.gov/ia/industry/crypto_suite_b.cfm)

http://www.nsa.gov/ia/industry/crypto_suite_b.cfm

79

Agenda




80

Evolution des composants standards sécurité

Centre de Sécurité

Pare-feu intégré

Pare-feu bidirectionnel avec gestion intégrée d’IPSec

Windows Defender (anti-spywares)Malicious Software Removal ToolInternet Explorer 7.0 (anti-phishing, …)

Support des derniers standards sécurité Wi-fi (WPA2, WPA, i802.1x…)

User Account Control (utilisation limitée des privilèges administrateur)

Windows Vista

Windows 2000

Professionnel

Windows XPProfessionne

l

Composant additionnel


Client Network Access ProtectionSupport de IPv6Chiffrement intégral du disque dur.Utilisation de TPM 1.2 et +




81

Ressources utiles

• Site d’informations sur Windows Vista et Windows 2008 : http://blogs.technet.com/longhorn/

• Sécurité et protection dans Windows Vista : http://www.microsoft.com/france/technet/produits/windowsvista/secuprotec.mspx

• Blog Windows Vista Security : http://blogs.msdn.com/windowsvistasecurity/

• Windows Vista Security Guide : http://go.microsoft.com/?linkid=5639874

• Network Access Protection (NAP) : http://www.microsoft.com/nap

http://blogs.technet.com/longhorn/

http://www.microsoft.com/france/technet/produits/windowsvista/secuprotec.mspx

http://www.microsoft.com/france/technet/produits/windowsvista/secuprotec.mspx

http://blogs.msdn.com/windowsvistasecurity/

http://go.microsoft.com/?linkid=5639874

http://www.microsoft.com/nap

82

Questions / Réponses

83

Documents

1 Renforcer la Sécurité du poste de travail avec