La sécurité sous Windows 10...de design et d’architecture liés aux stratégies de groupes (GPO). Enfin, le chapitre 10 fait un focus sur les différents paramètres de Windows

ISBN

: 978

-2-4

09-0

0535

-0

39 €

La sécurité sous Windows 10 Freddy ELMALEH est consultant freelance, expert Active Directory et Sécurité, architecte systèmes et chef de projet, fondateur de la société de services Active IT. Il intervient au sein de nombreuses grandes entreprises. Certifié MCSE Sécurité/Message-rie et MCITP Enterprise Administra-tor sur Windows Server 2008/2012. Freddy est également reconnu Microsoft MVP (Most Valuable Pro-fessional) depuis 2007 sur Windows Server - Active Directory et Enter-prise Mobility.

Ce livre sur la sécurité sous Windows 10 décrit les fonctionnalités de sécurité de ce système d’exploitation, leur mode de fonction-nement, leur implémentation interne ainsi que leur paramétrage. Il s’adresse à tout informaticien en charge de la sécurité sur des postes équipés de Windows 10 mais également aux lecteurs dési-reux d’en savoir plus sur les nouvelles mesures de sécurité imagi-nées pour ce système.

Le premier et le second chapitre sont consacrés à une présenta-tion avancée de l’architecture du système, aux nouveaux méca-nismes pour protéger ses identifiants (comme Credential Guard, Windows Hello) et également aux solutions permettant de se pro-téger des virus et autres malwares (Device Guard, AppLocker, Windows Defender, etc.). Le pare-feu avancé Windows s’intègre complètement avec IPSEC et fait l’objet du chapitre 3. Le chapitre 4 traite des nouveautés de partage de fichiers et d’imprimantes, de SMB V3, DirectAccess, BranchCache et de la gestion des ré-seaux sans fil dans Windows 10.

Le chapitre 5 est entièrement consacré à UAC (contrôle des comptes utilisateurs) et tout naturellement le chapitre 6 traite des contrôles d’accès et de l’impact d’UAC sur les permissions. Le chapitre 7 est consacré à Internet Explorer et Microsoft Edge, leurs nouveautés de sécurité avec en particulier le fonctionnement du mode protégé. Le chapitre 8 est entièrement consacré à BitLocker et EFS, les deux fonctionnalités de chiffrement destinées à protéger efficacement les données et l’intégrité du système d’exploitation.

Le chapitre 9 présente les nouveaux paramètres et les changements de design et d’architecture liés aux stratégies de groupes (GPO). Enfin, le chapitre 10 fait un focus sur les différents paramètres de Windows 10 qui concernent la vie privée de l’utilisateur.

Pour plus d’informations :Avant-propos • L’authentification dans Windows 10 • La protec-

tion contre les malwares • Le pare-feu Windows • Le réseau sous Windows 10 • Le contrôle de comptes utilisateurs • Les contrôles d’accès • Internet Explorer et Microsoft Edge • La protection des données locales • Les stratégies de groupe de sécurité • La protec-tion de la vie privée • Annexe

Les chapitres du livre

La s

écur

ité

sous

Win

dow

s 10 La sécurité

sous Windows 10

Freddy ELMALEH

Téléchargementwww.editions-eni.fr.fr

Sur www.editions-eni.fr :b Webographie.

1Table des matières

Avant-propos

Chapitre 1L’authentification dans Windows 10

1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

2. Winlogon. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132.1 Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132.2 Fournisseurs d'informations d'authentification . . . . . . . . . . . . . 15

3. Isolation des sessions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

4. Mode d’authentification d’un utilisateur . . . . . . . . . . . . . . . . . . . . . . 184.1 Mot de passe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224.2 Code PIN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224.3 Windows Hello . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

5. Credential Guard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275.1 Sécuriser l’accès RDP grâce à Remote Credential Guard

(ou Credential Guard pour bureau à distance) . . . . . . . . . . . . . . 295.2 Implémentation de Remote Credential Guard . . . . . . . . . . . . . . 30

6. Renforcement des contrôles d'accès . . . . . . . . . . . . . . . . . . . . . . . . . . 326.1 Comptes de service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

6.1.1 Système local . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336.1.2 Service réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346.1.3 Service Local. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346.1.4 Comptes utilisateurs du domaine . . . . . . . . . . . . . . . . . . 35

6.2 SID de service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

Les éléments à télécharger sont disponibles à l'adresse suivante : http://www.editions-eni.fr

Saisissez la référence ENI de l'ouvrage EI10WINS dans la zone de recherche et validez. Cliquez sur le titre du livre puis sur le bouton de téléchargement.

2 La sécurité sous Windows 10

6.3 SID restreints . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366.4 Comptes de services gérés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386.5 Comptes virtuels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

7. Spécificités de Windows 64 bits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397.1 Signature des pilotes de périphériques . . . . . . . . . . . . . . . . . . . . 397.2 PatchGuard (protection contre la modification du noyau) . . . . 39

Chapitre 2La protection contre les malwares

1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

2. Les mécanismes de protection du système d’exploitation. . . . . . . . . 422.1 Sécurisation du matériel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432.2 Sécurisation du processus de démarrage de l’OS . . . . . . . . . . . . 432.3 Sécurité basée sur la virtualisation . . . . . . . . . . . . . . . . . . . . . . . 462.4 Device Guard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

3. Renforcement contre les débordements de pile . . . . . . . . . . . . . . . . . 503.1 DEP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 503.2 ASLR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

4. MIC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

5. WRP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

6. SMEP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

7. Null Dereference Protection. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

8. Contrôle des applications (AppLocker) . . . . . . . . . . . . . . . . . . . . . . . . 598.1 Générer les règles par défaut . . . . . . . . . . . . . . . . . . . . . . . . . . . . 628.2 Générer les règles automatiques . . . . . . . . . . . . . . . . . . . . . . . . . 648.3 Auditer les règles AppLocker sur les postes de production . . . . 668.4 Appliquer les règles AppLocker sur les postes de production . . 69

9. Contrôle des périphériques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 709.1 Menaces existantes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 709.2 Blocage par stratégies de groupe . . . . . . . . . . . . . . . . . . . . . . . . . 71


9.3 Exemple . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 749.3.1 Blocage d'une classe d'installation de périphériques . . . . 769.3.2 Blocage d'un ID de périphérique . . . . . . . . . . . . . . . . . . . . 80

10. Autres évolutions notables. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8010.1 Signature des pilotes de périphériques . . . . . . . . . . . . . . . . . . . . 8010.2 Gestion des mises à jour Windows . . . . . . . . . . . . . . . . . . . . . . . 81

11. Le panneau "Sécurité et maintenance" . . . . . . . . . . . . . . . . . . . . . . . . 85

12. Windows Defender. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8712.1 Présentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8712.2 Options de sécurité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90

12.2.1 Protection en temps réel . . . . . . . . . . . . . . . . . . . . . . . . . . 9512.2.2 Protection dans le cloud et Envoi automatique

d’un échantillon. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9512.2.3 Exclusions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9612.2.4 Windows Defender Offline. . . . . . . . . . . . . . . . . . . . . . . . 96

12.3 Windows Defender en ligne de commande . . . . . . . . . . . . . . . . 9712.4 Visualisation et modification des logiciels autorisés

ou Mise en quarantaine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9712.5 Analyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99

13. Outil de suppression d'applications malveillantes . . . . . . . . . . . . . . 100

Chapitre 3Le pare-feu Windows

1. Présentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1051.1 Rappels essentiels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1051.2 Le pare-feu de Windows 10 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108

2. Paramétrage. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1102.1 Présentation des outils d'administration. . . . . . . . . . . . . . . . . . 110

2.1.1 Panneau de contrôle . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1102.1.2 Console de logiciel enfichable . . . . . . . . . . . . . . . . . . . . . 1112.1.3 Stratégies de groupe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112


2.1.4 Script . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1142.1.5 Netsh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114

2.2 Paramètres globaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1162.2.1 Paramétrage par défaut IPsec . . . . . . . . . . . . . . . . . . . . . 1192.2.2 Échange de clés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1202.2.3 Protection des données . . . . . . . . . . . . . . . . . . . . . . . . . . 1222.2.4 Méthode d'authentification . . . . . . . . . . . . . . . . . . . . . . 125

2.3 Configuration des règles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1262.3.1 Profils . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1262.3.2 Règles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1272.3.3 Ordre d'application des règles . . . . . . . . . . . . . . . . . . . . . 128

2.4 Scénarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1282.4.1 Restriction d'accès à un service particulier. . . . . . . . . . . 1282.4.2 Mode isolation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1442.4.3 Exemptions d'authentification . . . . . . . . . . . . . . . . . . . . 1452.4.4 Mode Tunnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145

Chapitre 4Le réseau sous Windows 10

1. Le partage de fichiers et d'imprimantes. . . . . . . . . . . . . . . . . . . . . . . 1471.1 Présentation générale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1471.2 Authentification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1501.3 Intégrité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1531.4 Paramétrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156

1.4.1 Activation/désactivation des partages . . . . . . . . . . . . . . 1561.4.2 Partage et visualisation . . . . . . . . . . . . . . . . . . . . . . . . . . 1591.4.3 Interopérabilité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163

2. L'accès réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1642.1 DirectAccess . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1642.2 VPN Reconnect. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1662.3 BranchCache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1692.4 DNSSEC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170


3. Les réseaux sans fil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1713.1 Présentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1713.2 Assistant Wi-Fi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1723.3 Risques liés aux réseaux sans fil. . . . . . . . . . . . . . . . . . . . . . . . . 172

3.3.1 Utilisation frauduleuse du réseau Wi-Fi et accès Internet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173

3.3.2 Interception de données et modifications . . . . . . . . . . . 1743.4 Protocoles de chiffrement des réseaux sans fil . . . . . . . . . . . . . 175

3.4.1 WEP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1753.4.2 WPA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176

3.5 Sécurisation des réseaux sans fil . . . . . . . . . . . . . . . . . . . . . . . . 181

Chapitre 5Le contrôle de comptes utilisateurs

1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183

2. Définitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1862.1 SID. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1862.2 Jeton d'accès (Access Token) . . . . . . . . . . . . . . . . . . . . . . . . . . . 1882.3 Privilèges et droits. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189

3. Fonctionnement de UAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1913.1 Explication du fonctionnement. . . . . . . . . . . . . . . . . . . . . . . . . 1913.2 Architecture en détail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195

3.2.1 Utilisation du shell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1953.2.2 ShellExecute vs CreateProcess . . . . . . . . . . . . . . . . . . . . 197

3.3 Virtualisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1983.4 Contrôle d'intégrité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2003.5 Élévation des privilèges . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201

3.5.1 Interface graphique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2013.5.2 Fichiers Manifest . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2023.5.3 Par programmation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205


3.6 Changements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2073.6.1 Compte administrateur. . . . . . . . . . . . . . . . . . . . . . . . . . 2073.6.2 Compte DefaultAccount. . . . . . . . . . . . . . . . . . . . . . . . . 207

4. Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207

5. Questions fréquentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213

Chapitre 6Les contrôles d'accès

1. Définitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2171.1 Objets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2171.2 ACL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2171.3 ACE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2181.4 Descripteur de sécurité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2181.5 DACL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2181.6 SACL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2191.7 SDDL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2191.8 Héritage. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2201.9 Ordre et priorité d'application des ACE . . . . . . . . . . . . . . . . . . 2201.10 Création et application de permissions. . . . . . . . . . . . . . . . . . . 222

2. Groupes et SID spéciaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2322.1 TrustedInstaller . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2332.2 CREATEUR PROPRIETAIRE . . . . . . . . . . . . . . . . . . . . . . . . . . 2342.3 DROITS DU PROPRIÉTAIRE. . . . . . . . . . . . . . . . . . . . . . . . . . 2342.4 GROUPE CREATEUR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2352.5 INTERACTIF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2352.6 LIGNE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2352.7 OUVERTURE DE SESSION DE CONSOLE . . . . . . . . . . . . . . 2352.8 REMOTE INTERACTIVE LOGON . . . . . . . . . . . . . . . . . . . . . 2362.9 RESEAU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2362.10 SERVICE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2362.11 SERVICE RÉSEAU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236


2.12 SERVICE LOCAL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2362.13 SYSTEM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2372.14 TACHE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2372.15 UTILISATEUR TERMINAL SERVER. . . . . . . . . . . . . . . . . . . . 2372.16 Utilisateurs du Bureau à distance . . . . . . . . . . . . . . . . . . . . . . . 2372.17 Utilisateurs du modèle COM distribué. . . . . . . . . . . . . . . . . . . 2372.18 Utilisateurs avec pouvoir . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239

3. Évolutions depuis Windows Vista. . . . . . . . . . . . . . . . . . . . . . . . . . . 2403.1 SID de refus dans le jeton d'accès . . . . . . . . . . . . . . . . . . . . . . . 2403.2 ACL sur le système de fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . 2413.3 Documents and Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2423.4 Partages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2443.5 Niveau d'intégrité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2453.6 Audit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245

3.6.1 Principe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2453.6.2 Configuration avancée de la stratégie d'audit . . . . . . . . 247

3.7 Outils. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250

Chapitre 7Internet Explorer et Microsoft Edge

1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2511.1 Le filtre SmartScreen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2521.2 La barre de statut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2591.3 Le gestionnaire de modules . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2591.4 ActiveX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261

1.4.1 Service d'installation ActiveX . . . . . . . . . . . . . . . . . . . . . 2621.4.2 ActiveX Opt-In . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2631.4.3 Filtrage ActiveX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2631.4.4 Contrôle ActiveX par site . . . . . . . . . . . . . . . . . . . . . . . . 264

1.5 Filtre XSS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2641.6 Navigation InPrivate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2651.7 Protection contre le tracking . . . . . . . . . . . . . . . . . . . . . . . . . . . 267


2. La protection d'Internet Explorer . . . . . . . . . . . . . . . . . . . . . . . . . . . 2692.1 DEP/NX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2692.2 Le mode protégé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269

3. Les paramètres des zones de sécurité. . . . . . . . . . . . . . . . . . . . . . . . . 2753.1 Définition des zones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2753.2 .NET Framework . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2783.3 Authentification utilisateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . 2793.4 Autoriser l'installation de .NET Framework. . . . . . . . . . . . . . . 2793.5 Composants dépendants du .NET Framework . . . . . . . . . . . . 2793.6 Contrôles ActiveX et plug-ins . . . . . . . . . . . . . . . . . . . . . . . . . . 2803.7 Divers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2843.8 Script . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2893.9 Téléchargement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290

4. Les paramètres de sécurité avancés . . . . . . . . . . . . . . . . . . . . . . . . . . 290

5. Le paramétrage par stratégie de groupe. . . . . . . . . . . . . . . . . . . . . . . 2965.1 Fonctionnalités de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2985.2 Panneau de configuration d'Internet Explorer . . . . . . . . . . . . . 302

6. Le navigateur Microsoft Edge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303

Chapitre 8La protection des données locales

1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313

2. Chiffrement du périphérique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313

3. BitLocker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3143.1 Introduction à BitLocker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3143.2 Présentation des menaces. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316

3.2.1 Données contenues dans un fichier . . . . . . . . . . . . . . . . 3173.2.2 Données contenues dans une base de données . . . . . . . 3173.2.3 Comptes utilisateurs et mots de passe. . . . . . . . . . . . . . 3173.2.4 Données pour accéder au réseau privé

d'une entreprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318


3.2.5 Données confidentielles contenues en mémoire . . . . . . 3193.2.6 Vidage mémoire d'une application ou du système . . . . 3203.2.7 PageFile. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3213.2.8 Fichier d'hibernation . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3213.2.9 Clés de chiffrement et certificats numériques . . . . . . . . 322

3.3 Fonctionnement de BitLocker . . . . . . . . . . . . . . . . . . . . . . . . . . 3233.4 BitLocker avec TPM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3333.5 BitLocker avec USB. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3343.6 BitLocker avec TPM et code PIN . . . . . . . . . . . . . . . . . . . . . . . . 3353.7 BitLocker avec TPM et USB. . . . . . . . . . . . . . . . . . . . . . . . . . . . 3353.8 BitLocker avec TPM et USB et code PIN . . . . . . . . . . . . . . . . . 3363.9 Déploiement de BitLocker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336

3.9.1 Mode d'authentification . . . . . . . . . . . . . . . . . . . . . . . . . 3373.9.2 Paramétrage et déploiement . . . . . . . . . . . . . . . . . . . . . . 3383.9.3 Gestion des clés de chiffrement . . . . . . . . . . . . . . . . . . . 343

3.10 BitLocker To Go . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343

4. EFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3464.1 Introduction à EFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3464.2 Fonctionnement d'EFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348

4.2.1 Opérations de chiffrement et déchiffrement de fichier . . . . . . . . . . . . . . . . . . . . . . . 348

4.2.2 Fonctionnement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3514.3 BitLocker et EFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3554.4 Plans de restauration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356

4.4.1 Sauvegarde du certificat de chiffrement . . . . . . . . . . . . 3564.4.2 Agent de récupération EFS . . . . . . . . . . . . . . . . . . . . . . . 3614.4.3 Agent de récupération de certificats. . . . . . . . . . . . . . . . 363

4.5 Stratégies de groupe EFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364


Chapitre 9Les stratégies de groupe de sécurité

1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369

2. Les évolutions depuis Vista . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3722.1 Nouveau format . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3722.2 Multiples stratégies de groupe locales . . . . . . . . . . . . . . . . . . . . 3752.3 Particularités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379

2.3.1 Diagnostics. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3792.3.2 Scripts de logon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3812.3.3 PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381

2.4 Windows 10 Security Guide . . . . . . . . . . . . . . . . . . . . . . . . . . . 383

3. Les paramètres de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3843.1 Stratégies de compte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384

3.1.1 Stratégies de mot de passe . . . . . . . . . . . . . . . . . . . . . . . 3843.1.2 Stratégie de verrouillage de compte . . . . . . . . . . . . . . . . 386

3.2 Stratégies d'audit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3883.3 Options de sécurité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3923.4 Préférences des stratégies de groupe . . . . . . . . . . . . . . . . . . . . . 394

Chapitre 10La protection de la vie privée

1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397

2. Détails des paramètres liés à la vie privée . . . . . . . . . . . . . . . . . . . . . 3992.1 Télémétrie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3992.2 Identifiant de publicité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4012.3 Assistant Wi-Fi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4022.4 Windows SmartScreen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4032.5 Informations sur l’écriture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4032.6 Accès à la liste de langues. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4042.7 Localisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4042.8 Accès à la caméra . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405


2.9 Accès au microphone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4062.10 Voix, entrée manuscrite et frappe . . . . . . . . . . . . . . . . . . . . . . . 4072.11 Informations sur votre compte . . . . . . . . . . . . . . . . . . . . . . . . . 4082.12 Accès à vos contacts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4082.13 Accès à vos calendriers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4092.14 Accès à votre historique des appels . . . . . . . . . . . . . . . . . . . . . . 4092.15 Accès à vos messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4102.16 Capacité pour une app d’activer le Wi-Fi, Bluetooth, etc. . . . . 4102.17 Partage d’information avec des appareils

connectés sur le même réseau sans fil . . . . . . . . . . . . . . . . . . . . 4102.18 Envoi des commentaires et diagnostics. . . . . . . . . . . . . . . . . . . 4102.19 Applications en arrière-plan . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4112.20 Empêcher l’utilisation de OneDrive . . . . . . . . . . . . . . . . . . . . . 4122.21 Cortana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4122.22 Indexation des fichiers chiffrés . . . . . . . . . . . . . . . . . . . . . . . . . 4122.23 Définir quelles informations sont partagées dans Search . . . . 4132.24 Synchroniser vos paramètres . . . . . . . . . . . . . . . . . . . . . . . . . . . 4132.25 Désactiver l’envoi des rapports d’erreur Windows. . . . . . . . . . 4142.26 Rejoindre Microsoft MAPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4142.27 Envoyer des exemples de fichier

lorsqu’une analyse supplémentaire est nécessaire . . . . . . . . . . 4152.28 Désactiver le Programme d’amélioration

de l’expérience utilisateur Windows . . . . . . . . . . . . . . . . . . . . . 4162.29 Désactiver le rapport d’erreurs Windows . . . . . . . . . . . . . . . . . 417

Annexe

1. Liste de sites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419

Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425

183

Chapitre 5

Le contrôle de comptes utilisateurs

Le contrôle de comptes utilisateurs1. Introduction

Le contrôle de comptes utilisateurs UAC (User Account Control) est un change-ment important apparu lors de la sortie de Windows Vista et qui a fait coulerbeaucoup d'encre depuis les premières versions de test de Windows Vista. Cechapitre a pour but d'expliquer les problèmes que UAC tente de résoudre,comment il fonctionne en détail, comment il est implémenté dans le systèmed'exploitation et comment il peut être paramétré. Enfin, la dernière sectiontente d'apporter une réponse aux questions les plus fréquemment posées.

Le contrôle de compte d'utilisateur (UAC) a été créé pour rendre le systèmed'exploitation moins vulnérable aux logiciels malveillants en obligeant les uti-lisateurs, même les administrateurs, à exécuter la plupart des applicationsavec des privilèges utilisateur standard. Bien entendu, la protection ne sera pasefficace à 100 % et avec le temps, des failles ou des moyens de contournementseront probablement découverts. Avant d'aller plus loin dans la présentationd'UAC, il est important d'alerter le lecteur que UAC n'est pas un périmètre desécurité en soi, qu'il n'a pas été développé en ce sens, mais qu'il est censéapporter une aide pour diminuer l'exposition du système aux travers des uti-lisateurs logués et exposés par exemple aux dangers d'Internet. Le dernier pa-ragraphe de ce chapitre introduira les risques et menaces résiduels malgrél'utilisation d'UAC.

© E

dit

ions

EN

I -

All r

ights

rese

rved


Par le passé, les systèmes d'exploitation de Microsoft ont régulièrement étéinfestés par des logiciels malveillants comme les virus, les vers, chevaux deTroie et autres rootkits. En soi, le système d'exploitation n'était pas moinssécurisé que ses concurrents, mais les auteurs de codes malveillants ont profitéd'une part de la large base installée pour prendre le contrôle d'un nombreconséquent de postes, et d'autre part du fait que la plupart des utilisateursétaient logués en tant qu'administrateur du système. De plus, bon nombre deces utilisateurs offraient une cible facilement piégeable du fait de leur manqued'expertise en informatique : il était alors aisé de leur faire exécuter une appli-cation reçue en pièce jointe d'un message envoyé par un inconnu depuisInternet : cette application exécutée avec toutes les permissions nécessaires,puisque l'utilisateur est administrateur de son poste, peut alors prendre lecontrôle de l'ordinateur.

Le contrôle de comptes utilisateurs a donc été développé dans l'optique de per-mettre aux utilisateurs d'utiliser leurs ordinateurs sans avoir besoin d'êtreadministrateur afin qu'ils soient mieux protégés lors de la navigation surInternet, la lecture de messages électroniques, la messagerie instantanée, lalecture de forums de discussion, les jeux, et plus généralement toute utilisa-tion pouvant nécessiter l'accès à des ressources disponibles sur Internet. Lorsde ces connexions, tout code téléchargé depuis Internet est potentiellementdangereux ; exécuté dans le contexte utilisateur, il peut corrompre ou modi-fier le paramétrage du système d'exploitation si l'utilisateur dispose de droitsd'administration (comme c'est le cas sur les plates-formes Microsoft avantWindows Vista).

La finalité d'UAC, est de permettre d'utiliser le système d'exploitation et lesapplications installées sans avoir besoin d'être administrateur. Pour atteindrece but, plusieurs changements importants ont été nécessaires au fil desannées, et notamment après Windows XP. Tout d'abord, pour que l'utilisateurpuisse se loguer sans être administrateur et cependant administrer correcte-ment son système, il a fallu revoir la plupart des tâches d'administration et lesréimplémenter de façon différente afin que l'utilisateur n'ait pas nécessaire-ment besoin d'être administrateur pour les réaliser (par exemple, changer defuseau horaire pour un utilisateur itinérant, ou encore se connecter à unréseau sans fil, ou installer un pilote d'impression).

185Le contrôle de comptes utilisateursChapitre 5

Un certain nombre de tâches nécessitant toujours des privilèges d'administra-tion, il a fallu ensuite concevoir un mécanisme d'élévation de privilèges afinque l'utilisateur puisse exécuter une tâche en tant qu'administrateur sansavoir à se loguer avec un autre compte ou utiliser un outil en ligne de com-mande comme runas.exe.

Le dernier objectif de UAC est d'isoler les applications s'exécutant en tantqu'administrateur des autres applications s'exécutant dans le même bureauafin qu'ils ne puissent pas élever leurs privilèges en prenant le contrôle d'uneapplication s'exécutant dans un contexte administrateur.

Historiquement, l'utilisateur Windows a toujours été administrateur de sonposte. C'est dû en partie au fait que les premiers systèmes d'exploitation quiont démocratisé la plate-forme de Microsoft ne possédaient pas de notion desécurité (Windows 3.1, Windows 95, Windows 98) et les tâches d'administra-tion devaient être simplifiées et être accessibles à un utilisateur final. Lors dela convergence de la plate-forme Windows 95 et Windows NT Server qui aabouti à Windows 2000 Server et Workstation, un certain nombre de tâchessont restées en l'état, afin d'assurer la compatibilité avec une importante baseinstallée d'ordinateur. Résultat, un grand nombre de tâches qui pouvaientavoir besoin d'accéder en écriture à des parties protégées du système d'exploi-tation (des clés de registre sous HKEY_LOCAL_MACHINE), écrire dans unfichier de configuration dans le répertoire SYSTEM32 ou sous %PROGRAMFILES% n'ont pas été redéveloppées. Ainsi, un grand nombre de tâches ontnécessité de disposer de permissions réservées aux administrateurs pour s'exé-cuter et ceci a perduré jusqu'à Windows 2003.

Dans le même temps, de nombreux éditeurs de logiciels ont développé desapplications, prenant pour postulat que l'utilisateur était administrateur de samachine, ceci aussi bien chez Microsoft que chez les autres éditeurs. De mêmebon nombre de jeux nécessitent d'être administrateur de la machine.

Cet état des lieux est le résultat d'une double responsabilité. Responsabilitédes éditeurs de logiciels qui ne concevaient pas leur applications pour s'exécu-ter dans un contexte de privilèges restreints et responsabilité de Microsoft quin'a pas poussé en ce sens (ou alors trop tard et trop timidement) et qui n'a pastoujours fourni des interfaces de programmation qui ne nécessitent pas d'êtreadministrateur à l'exécution.

© E

dit

ions

EN

I -

All r

ights

rese

rved


UAC, qui tente d'apporter une solution à ces problèmes, n'est qu'une pièceimportante de la stratégie de Microsoft qui consiste à mettre en avant un nou-veau modèle dans lequel personne n'est administrateur de la machine, et lestâches réservées aux administrateurs vont pouvoir s'exécuter à l'aide d'unmécanisme d'élévation de privilèges déclenchés à la demande par les applica-tions nécessitant d'être administrateur.

L'utilité et l'efficacité de l'UAC ont été démontrées à maintes reprises sousWindows Vista. Cependant la technologie n'avait pas forcément été bienaccueillie par les utilisateurs finaux car les sollicitations engendrées par l'UACétaient trop nombreuses.

Windows a beaucoup amélioré l'expérience utilisateur liée à l'UAC en rédui-sant considérablement le nombre de prompts affichés. Certains exécutables etcertaines tâches ont également été réécrits afin de ne plus nécessiter des privi-lèges administrateur. L’UAC s’est également adapté aux nouvelles possibilitésd’authentification et la fenêtre d’élévation de privilèges supporte ainsi des’authentifier via un compte Windows Hello, un code PIN, un certificat ou lemot de passe plus classique.

2. Définitions

2.1 SID

Dans les systèmes Windows, tout compte de sécurité possède un identifiantunique appelé SID pour Secure Identifier. Un compte de sécurité peut être uncompte utilisateur, un groupe d'utilisateurs ou un ordinateur, mais il en existed'autres (comme par exemple une relation d'approbation). Depuis WindowsVista, ça peut également être un service.

En interne, le système manipule des SID. Les noms d'utilisateurs, de groupesou d'ordinateurs ne sont que des représentations sous forme de chaînes decaractères de ces comptes référencés par un SID. Cela permet par exemple derenommer un utilisateur ou un groupe tout en conservant les permissionspour cet utilisateur ou groupe puisque cela pointe toujours sur le mêmecompte de sécurité (SID).

187Le contrôle de comptes utilisateursChapitre 5

Par contre, supprimer un utilisateur puis le recréer immédiatement à l'iden-tique crée deux comptes de sécurité différents : la gestion des SID est assuréepar le système d'exploitation qui incrémente par 1 le SID à chaque création decompte et il n'est pas possible de créer un compte en spécifiant un SID donné.Si vous créez un compte et lui assignez des permissions sur une ressource, eninterne, c'est le SID qui est référencé dans la liste des permissions. Si voussupprimez alors le compte et en recréez un nouveau avec le même nom, il sevoit assigner un SID différent et n'aura donc pas les permissions du compteprécédent.

Un SID se présente sous la forme suivante : S-1-5-21-2577476284-2273008180-4043047528-1000. Sans décortiquer bit à bit le SID en question,sachez que les premiers octets du SID identifient le domaine auquel appar-tient l'utilisateur si celui-ci est membre du domaine, ou l'ordinateur si c'est unutilisateur local. Pour un domaine ou un ordinateur donné, le préfixe sera donctoujours le même. Le dernier nombre (ici 1000) identifie l'utilisateur. Cenombre est incrémenté de 1 à chaque création de compte par l'ordinateur localsi un utilisateur ou un groupe local est créé, ou par un contrôleur de domainesi c'est un compte de sécurité du domaine qui est créé.

Les systèmes d'exploitation Microsoft sont installés avec un certain nombrede comptes génériques, qui ont toujours le même nombre relatif d'un systèmeà l'autre. Par exemple, tout compte générique administrateur sera de la formeS-1-5-domaine-500 (c'est d'ailleurs la raison pour laquelle le renommage ducompte Administrateur ne sert pas à grand chose car l'attaquant l'identifierarapidement grâce à son SID). De même, le groupe générique administrateursaura toujours le SID S-1-5-32-544 d'un système à l'autre. Microsoft maintientune liste des numéros de SID génériques. Il est utile de l'avoir sous la main lors-qu'il s'agit par exemple d'analyser des journaux d'événements pour déterminerquel compte a réalisé telle action. L'annexe de ce livre fournit un lien sur lafiche technique qui référence les SID génériques.

L'outil système en ligne de commande whoami utilisé avec le paramètre /allpermet de déterminer le SID de l'utilisateur logué ainsi que les noms et SIDSdes groupes auxquels il appartient.

© E

dit

ions

EN

I -

All r

ights

rese

rved


L'outil psgetsid, disponible en téléchargement sur le site de Microsoft, per-met quant à lui d'afficher le SID de l'ordinateur ou de l'utilisateur de son choix.

2.2 Jeton d'accès (Access Token)

Lors du processus de Logon, un jeton d'accès (en anglais Access Token) est créépar le sous-système de sécurité LSA (Local Security Authentication) appeléLSASS en référence au nom du processus système en charge de réaliser cetteopération. Le jeton d'accès contient le SID unique de l'utilisateur, la liste detous les SID de groupe local et du domaine auquel le compte de sécurité appar-tient et également la liste des privilèges dont dispose l'utilisateur. Dans Win-dows 7/10, il contient également le niveau d'intégrité du compte qui seraabordé un petit peu plus loin. La notion de privilèges sera présentée au cha-pitre suivant, pour l'instant il suffit de savoir qu'un privilège est un droit deréaliser une opération d'administration particulière comme arrêter le systèmeou changer de fuseau horaire, tâches qui ne sont pas contrôlées par des permis-sions sur un objet.

Le jeton d'accès de l'utilisateur étant créé par le système au moment du logonde l'utilisateur, le rajout d'un compte dans un groupe n'est pas pris en comptedynamiquement. Celui-ci doit se déloguer et se reloguer pour obtenir un jetoncontenant les nouveaux groupes auxquels il appartient.