Embed Size (px)
Citation preview
La stratégie en matière La stratégie en matière de sécurité : menaces et de sécurité : menaces et défensesdéfenses
Stanislas Quastana, Stanislas Quastana, CISSP CISSP
Architecte InfrastructureArchitecte Infrastructure
A quoi sert la sécurité ?A quoi sert la sécurité ?
Principalement à répondre à 3 besoins :
Confidentialité Intégrité Disponibilité
Vue générale d’un Système Vue générale d’un Système d’Informationd’Information
Défense en profondeurDéfense en profondeur
Données et Ressources
Défenses des applications
Défenses des machines
Défenses du réseau
Défenses du périmètre L’accès à une couche inférieure nécessite de passer au préalable par les couches supérieures
Tous les éléments constituant la sécurité de la plateforme sont ainsi répartis au sein de cette approche par couche
Sécurité physique
Politiques de sécurité
Investissements technologiquesInvestissements technologiques
Contrôle d’accès Contrôle d’accès et d’identitéet d’identité
Atténuation des Atténuation des menaces & réduction menaces & réduction
des risquesdes risques
FondamentauxFondamentauxRéduire les vulnérabilités, augmenter la résistanceRéduire les vulnérabilités, augmenter la résistance
Critères communsCritères communsLa certification Critères Communs (CC) est une norme internationale qui permet d'assurer la conformité de produits informatiques vis-à-vis de spécifications sévères en matière de sécurité
Les produits Microsoft qui ont reçu la certification CC EAL4 (Evaluation Assurance Level) augmentée avec la certification ALC_FR.3 sont :
Windows Server 2003, Standard Edition (32-bit version) avec Service Pack 1
Windows Server 2003, Enterprise Edition (32-bit and 64-bit versions) avec SP1
Windows Server 2003, Datacenter Edition (32-bit and 64-bit versions) avec SP1
Windows Server 2003 Certificate Server, Certificate Issuing and Management Components (CIMC) (Security Level 3 Protection Profile, Version 1.0)
Windows XP Professional avec Service Pack 2
Windows XP Embedded avec Service Pack 2
Produit Microsoft qui a reçu la certification Produit Microsoft qui a reçu la certification CC EAL4 CC EAL4 augmentée avec les augmentée avec les certifications AVA_VLA.3 et ALC_FR.1 : :
ISA Server 2004 Edition Standard
Microsoft Microsoft Baseline Baseline Security Security
Analyzer 2.0Analyzer 2.0
Microsoft Microsoft UpdateUpdate
Automatic UpdatesAutomatic Updates
Gestion des mises à Gestion des mises à jourjour
A la maisonA la maison
Petites entreprisesPetites entreprises
Entreprises moyennesEntreprises moyennes
Grandes EntreprisesGrandes Entreprises
Domaines de focalisation en sécurité
Protéger les utilisateurs contre la fraudeProtéger les utilisateurs contre la fraude
Donner aux utilisateurs un meilleur contrôleDonner aux utilisateurs un meilleur contrôle
Contenir les logiciels malveillantsContenir les logiciels malveillants
Fonctions sécurité clés
Filtre contre le Phishing pour protéger des sites Web Filtre contre le Phishing pour protéger des sites Web frauduleuxfrauduleux
« Opt-in ActiveX » pour choisir les ActiveX à exécuter« Opt-in ActiveX » pour choisir les ActiveX à exécuter
Vista : Mode protégé pour prévenir l’usage des logiciels Vista : Mode protégé pour prévenir l’usage des logiciels malfaisantsmalfaisants
Internet Explorer Internet Explorer 77
IE 7 sera disponible sur Vista et Windows XP
Version beta 2 disponible sur http://www.microsoft.com/windows/ie/ie7
Gestion de l’identité et de l’accèsGestion de l’identité et de l’accèsObjectif : permettre uniquement aux utilisateurs
légitimes un accès sécurisé et basé sur une politique de sécurité aux machines, applications et données
Identité digne de confiance
Services d’annuaireServices d’annuaireServices de certificatsServices de certificatsGestion du cycle de vieGestion du cycle de vieAuthentification forteAuthentification forteFédération des identitésFédération des identités
Gestion de la politique d’accès
Role-based access controlRole-based access controlAudit Collections ServicesAudit Collections ServicesGroup Policy Management Group Policy Management ConsoleConsole
Protection de l’information
Rights Management Rights Management ServicesServicesServices de chiffrementServices de chiffrementProtocoles et canaux Protocoles et canaux sécuriséssécurisésServices de sauvegarde Services de sauvegarde et de récupérationet de récupération
Assurer que les utilisateurs sont bien ce qu’ils disent être. Gestion du cycle de vie de l’identité
Fournir l’accès en fonction de la politique de sécurité
Protéger les données au long de leur cycle de vie
Acquisition d’AlacrisAcquisition d’Alacris
Certificate Lifecycle ManagerCertificate Lifecycle Manager est une solution de est une solution de gestion du cycle de vie des certificats et des cartes à gestion du cycle de vie des certificats et des cartes à puce (Smart card)puce (Smart card)Windows Server et Active Directory sont utilisés Windows Server et Active Directory sont utilisés comme plateforme d’identité et d’accèscomme plateforme d’identité et d’accèsElle permet aux professionnels IT de provisionner, Elle permet aux professionnels IT de provisionner, gérer et maintenir les certificats numériques et les gérer et maintenir les certificats numériques et les technologies de cartes à puce afin d’améliorer la technologies de cartes à puce afin d’améliorer la sécurité de leur environnementsécurité de leur environnement
Microsoft Certificate Livecycle Microsoft Certificate Livecycle Manager (CLM)Manager (CLM)
Point unique d’administration pour tous les certificats et la gestion des cartes à puce (smart cards).
Offre des fonctions de gestion nécessaire au cycle de vie des identités numériques au travers de workflows configurables pour :
Récupération / remplacement de carteRenouvellement / mise à jour de cléSuppression / RévocationDésactivationLettre de créance / duplication de carteRécupération à la place de (Recover of Behalf)Mise à jour en ligneDéblocage de carte…
Disponible en 2007. Beta 1 : 1Disponible en 2007. Beta 1 : 1erer semestre 2006 semestre 2006
Les limites des technologies de Les limites des technologies de contrôle d’accès “traditionnelles”contrôle d’accès “traditionnelles”
Access Control List, Chiffrement
Non
Oui
Périmètre de l’entreprise (physique et logique)Périmètre de l’entreprise (physique et logique)
Utilisateurs autorisés
Utilisateurs non autorisés
Fuite d’information
Utilisateurs non autorisés
…mais pas sur son utilisation ultérieure
Le contrôle se fait généralement sur l’accès initial
Contenu en clair
Protection de l’information Protection de l’information avec Rights Management avec Rights Management ServicesServices
RMS SP1 RMS SP1 (disponible depuis mi-2005)(disponible depuis mi-2005)Peuplement et enrôlement déconnectésPeuplement et enrôlement déconnectésAuthentification par carte à puceAuthentification par carte à puceApplications serveursApplications serveursConformité FIPSConformité FIPS
Feuille de route, intégration de RMS :Feuille de route, intégration de RMS :Office 12Office 12Exchange 12Exchange 12Sharepoint 12Sharepoint 12Windows Mobile 2007Windows Mobile 2007 (Crossbow) (Crossbow)Xml Paper Specification (Metro)Xml Paper Specification (Metro)
Objectifs : fournir une protection persistante de l’information au-delà de l’accès initial et y compris en dehors de l’entreprise (au-delà du périmètre). Contrôle de l’usage des données
Atténuation des menaces et Atténuation des menaces et réduction des risques - réduction des risques - synthèsesynthèse
A la maisonA la maison En entrepriseEn entreprise
Protéger la messagerie collaborative Protéger la messagerie collaborative d’entreprised’entreprise
Exchange 2003 SP2Exchange 2003 SP2Support de Sender-ID
Créé pour contrer l’usurpation de domaineCréé pour contrer l’usurpation de domaine (domain (domain spoofing)spoofing)Sender ID permet aux administrateurs d’un domaine de mail de protéger l’identité du domaine de mail en spécifiant des enregistrements DNS Ces enregistrements sont aussi appelés SPF (Sender Policy Framework) et listent les hôtes (adresses IP, noms etc…) autorisés à envoyer des mails de ce domaine de mail
IMF (Intelligent Message Filter) est maintenant fourni en natif dans le Service Pack 2 d’Exchange 2003
Mise à jour de la technologie SmartScreenMise à jour de la technologie SmartScreenTechnologie Anti Phishing intégrée à SmartscreenTechnologie Anti Phishing intégrée à SmartscreenCréation possible de « Custom Weight List »Création possible de « Custom Weight List »
Contrôle accru sur les périphériques mobiles Contrôle accru sur les périphériques mobiles Disponible depuis le 11 octobre 2005Disponible depuis le 11 octobre 2005
Administration et protection Administration et protection des périphériques mobiles des périphériques mobiles (1/2)(1/2)Gestion distante du respect des politiques Gestion distante du respect des politiques
d’entreprised’entreprise
Administration et protection Administration et protection des périphériques mobiles des périphériques mobiles (2/2)(2/2)Protection contre le vol des équipements via réinitialisation à Protection contre le vol des équipements via réinitialisation à
distance du terminaldistance du terminal
Protection des accès non autorisés via verrouillage local et Protection des accès non autorisés via verrouillage local et suppression des données (sauf celles sur les cartes mémoires)suppression des données (sauf celles sur les cartes mémoires)
Outil Microsoft Exchange ActiveSync Mobile Administration Web Outil Microsoft Exchange ActiveSync Mobile Administration Web ToolTool
Messaging & Security Feature PackMessaging & Security Feature Pack(MSFP)(MSFP)
Complément à Windows Mobile 2005
Contient tous les supports pour les fonctionnalités du SP2
Direct PushSSL CachingSupport de 3DES pour le chiffrementAuthentification par certificatUtilisation de S/MIME pour signer et chiffrer les e-mails
Nécessite obligatoirement un lecteur de carte
MSFP est désormais intégré directement dans la ROM de certains équipements Windows Mobile 2005 (AKU2)
Disponible au 1Disponible au 1erer semestre 2006 semestre 2006
Microsoft AntigenMicrosoft Antigen
Ligne de produits Microsoft AntigenLigne de produits Microsoft Antigen
Disponible au 2Disponible au 2èmeème semestre 2006 semestre 2006
1ère vague de produits dédiée à la protection de la messagerie
Approche multi-moteurs unique pour une détection plus rapide et une protection plus large
Protection intégrée virus et spam
Intégration du moteur antivirus Microsoft
2ème vague : produits destinés à protéger la messagerie instantanée (Live Communications Server) et le travail collaboratif (SharePoint Portal Server/Windows SharePoint Services)
Nouveau Nouveau moteur AV moteur AV Microsoft Microsoft
L’offre FrontBridgeL’offre FrontBridgeServices externalisés pour la messagerie d’entreprise :Services externalisés pour la messagerie d’entreprise :
FiltrageAntivirus (4 moteurs distincts)Antivirus (4 moteurs distincts)Anti spamAnti spam
RTAP (analyse de trafic pour la détection d’anomalie) RTAP (analyse de trafic pour la détection d’anomalie) Support de SPF - SenderIDSupport de SPF - SenderIDBase de données d’adresses propriétaireBase de données d’adresses propriétaire
Mise en quarantaine (outil SpamShark)Mise en quarantaine (outil SpamShark)
ArchivageArchivage de messages et de conversation instantanéesRécupération de messages et non-répudiation de l’archive
ContinuitéContinuité et récupération de désastre avec 30 jours de Continuité et récupération de désastre avec 30 jours de sauvegarde de messagessauvegarde de messagesFonctionnalités de recherche avancéesFonctionnalités de recherche avancéesEnvoi des messages sauvegardés après l’interruption de Envoi des messages sauvegardés après l’interruption de serviceservice
Montée en charge et disponibilité uniquesArchitecture dimensionnée pour consommer en régime normal 35% des ressources afin d’assumer efficacement toute suractivité (ex: attaques virales via messagerie…)
L’infrastructure la plus L’infrastructure la plus disponible du marchédisponible du marché
Garantie de disponibilité de 99.999% (5 min. d’indisponibilité/an): 100% historiqueFin 2005 : 8 centres de données dont un à Paris. 3 nouveaux prévusServices activés par un simple changement du MX recordNécessite peu d’administration IT: contrôle centraliséExtensibilité sans coût additionnel; peut soutenir toute variation de volume de messagesLibère les serveurs des clients et la bande passante de trafic non désiréLivre seulement les messages légitimes sur le site du clientAnalyse plus de 6 milliards de messages par mois
ISA Server en quelques ISA Server en quelques motsmots
Proxy cache
Reverse proxy
Proxy applicatifPasserelle VPN- VPN nomades- VPN site à site
Pare-feu multicouches (3,4 et 7)
Filtrage extensible
www.vpnc.org
http://www.microsoft.com/isaserver/techinfo/deployment/commoncrit.mspx
L’actualité d’ISA Server L’actualité d’ISA Server 20042004
ISA Best Practices AnalyzerISA Best Practices Analyzer
Sortie du Service Pack 2Sortie du Service Pack 2Microsoft Update Caching (BITS)Microsoft Update Caching (BITS)
Compression HTTP (Gzip)Compression HTTP (Gzip)
Gestion de priorité du trafic HTTP(s)Gestion de priorité du trafic HTTP(s)
Compatibilité avec Windows Server 2003 R2 et SQL Server Compatibilité avec Windows Server 2003 R2 et SQL Server 20052005
Intégration des correctifs (depuis le 11/01/2005) soit la Intégration des correctifs (depuis le 11/01/2005) soit la correction d’environ 70 bugs fonctionnelscorrection d’environ 70 bugs fonctionnels
Développement des offres de type « appliances »Développement des offres de type « appliances »Whale Communication (VPN SSL)Whale Communication (VPN SSL)
Network Engine…Network Engine…
Client pare-feu ISA pour Windows 64 bits et Client pare-feu ISA pour Windows 64 bits et Windows VistaWindows Vista
ISA Server 2006ISA Server 2006(Codename Wolverine)(Codename Wolverine)
Nouveaux assistants de publicationExchange (dont Exchange 12) & Sharepoint / WSSPersonnalisation des formulaires d’authentification (FBA)
AuthentificationAuthentification LDAP, Radius OTP, Support Smartcards, FBA pour SharepointSingle Single On sur les sites web publiés
DéploiementAssistant de déploiement pour les réseaux d’agence
Flood Mitigation90 nouvelles alertes…Disponible au 2Disponible au 2èmeème semestre 2006 semestre 2006
Protéger les postes clientsProtéger les postes clients
Internet Explorer 7
Internet Explorer 7
Windows Live Safety Windows Live Safety CenterCenter
1.1. Analyse et suppression de virus, Analyse et suppression de virus, spyware, rootkitsspyware, rootkits et autres logiciels et autres logiciels malveillants…malveillants…
2.2. Informations pour les utilisateurs Informations pour les utilisateurs finauxfinaux sur les menaces (virus, sur les menaces (virus, spyware, phishing…)spyware, phishing…)
3.3. Optimisation des performancesOptimisation des performances (test de fragmentation des disques)(test de fragmentation des disques)
http://safety.live.com
Windows OneCare LiveWindows OneCare Live
Windows OneCare LiveWindows OneCare LiveProtectionProtection
AntivirusAntivirusTemps réelTemps réelMise à jour des signaturesMise à jour des signatures
Windows OneCare FirewallWindows OneCare Firewallbidirectionnelbidirectionnel
Suivi des mises à jourSuivi des mises à jour
Amélioration des performancesAmélioration des performancesVérification de l’état de fragmentation des disquesVérification de l’état de fragmentation des disquesSuppression des fichiers inutiles (temporaires)Suppression des fichiers inutiles (temporaires)
Sauvegarde et restauration des donnéesSauvegarde et restauration des donnéesCopie sur CD, DVD ou disque externeCopie sur CD, DVD ou disque externeSauvegarde planifiable avec un disque externeSauvegarde planifiable avec un disque externe
Site officiel : Site officiel : http://www.windowsonecare.comhttp://www.windowsonecare.com
Blog : Blog : http://spaces.msn.com/members/windowsonecare/http://spaces.msn.com/members/windowsonecare/
Windows OneCare LiveWindows OneCare Live
Microsoft Windows DefenderMicrosoft Windows Defenderex Microsoft Antispywareex Microsoft Antispyware
Objectif : Aider à protéger les utilisateurs de WindowsObjectif : Aider à protéger les utilisateurs de Windows contre les logiciels espions et autres logiciels non contre les logiciels espions et autres logiciels non
désirésdésirés
Détecter et supprimer les spywaresDétecter et supprimer les spywaresCorrige les problèmes de ralentissement, de pop-up…Corrige les problèmes de ralentissement, de pop-up…Surveillance de l’installation des driversSurveillance de l’installation des driversAnalyses planifiées pour maintenir sécurité et Analyses planifiées pour maintenir sécurité et confidentialitéconfidentialité
Améliorer la sécurité de la navigation sur InternetAméliorer la sécurité de la navigation sur InternetSurveillance temps réel de plus de 50 points d'entréesSurveillance temps réel de plus de 50 points d'entréesAlertes personnalisables selon vos préférencesAlertes personnalisables selon vos préférences
Stopper les dernières menacesStopper les dernières menacesCommunauté SpyNet : identifier les nouveaux spywaresCommunauté SpyNet : identifier les nouveaux spywaresMise à jour automatique des signaturesMise à jour automatique des signaturesBeta 2 en téléchargement depuis le 14 février 06Beta 2 en téléchargement depuis le 14 février 06
Protection continue contre les Protection continue contre les spywaresspywares
Parmi les 20 millions Parmi les 20 millions d’utilisateurs, 6 millions actifs d’utilisateurs, 6 millions actifs sur SpyNetsur SpyNet
Complémente les antivirus traditionnels en Complémente les antivirus traditionnels en fournissant un outil qui supprime les fournissant un outil qui supprime les principaux virus et vers d’un PCprincipaux virus et vers d’un PC
Destiné aux particuliers sans antivirusDestiné aux particuliers sans antivirus
Déployable en entreprise dans une stratégie Déployable en entreprise dans une stratégie de défense en profondeurde défense en profondeur
Disponible par Windows Update, Auto Update, Disponible par Windows Update, Auto Update, page web, centre de téléchargementpage web, centre de téléchargement
Construit à partir de technologies de protection éprouvéesConstruit à partir de technologies de protection éprouvées
Microsoft Client ProtectionMicrosoft Client Protection
Protection unifiéeEvaluation du niveau de sécurité
Protège contre les menaces de logiciels malveillants, actuelles et émergeantes
Construit sur les technologies éprouvées (anti-spyware / Giant; anti-virus / GeCad)
Intégration Multi-niveauMaximise la valeur des investissements existants
Contrôle informéGère les priorités des données collectées pour aider à se concentrer sur les bons problèmes
Objectif : fournir aux entreprises une solution globale leur permettant de se protéger contre les menaces de logiciels malveillants, existantes et émergeantes
Intégration multi-niveauIntégration multi-niveauMicrosoft Client Protection s’appuie sur des Microsoft Client Protection s’appuie sur des produits d’infrastructures de gestion éprouvées :produits d’infrastructures de gestion éprouvées :
Déploiement des Déploiement des stratégiesstratégies
Distribution des Distribution des signaturessignatures
Collecte des évènements et génération de
rapports
Contrôle informéContrôle informéGénération de rapports (SQL Reporting Services)Génération de rapports (SQL Reporting Services)
Rapports synthétiques à très détaillésRapports synthétiques à très détaillés
Rapports visibles au sein d’une console / un navigateurRapports visibles au sein d’une console / un navigateur
Évaluation du niveau de sécuritéÉvaluation du niveau de sécuritéEtat des correctifsEtat des correctifs
Etat des configurationsEtat des configurations
Gestion d’alertes (MOM)Gestion d’alertes (MOM)
Exemple de rapports MCPExemple de rapports MCP
OU
(ou un système alternatif) (ou un système alternatif)
PARAMETRES RAPPORTS
Serveur degestion
Serveur de rapports et d’alertes
EVENEMENTSDEFINITIONS
Postes de travail, portables, serveurs de fichiers exécutant Microsoft Client Protection
Architecture de Architecture de MCPMCP
TarifTarif GratuitGratuit €€(3) €€
Synthèse des offres anti-malwares de Synthèse des offres anti-malwares de MicrosoftMicrosoft
Supprime les Supprime les virus les + virus les + répandus répandus
Supprime tous Supprime tous les virus les virus connus connus
Protection Protection anti-virus anti-virus
temps réeltemps réelSupprime tous Supprime tous
les spywares les spywares connusconnus
Anti-spyware Anti-spyware temps réeltemps réel
Gestion Gestion centralisée de centralisée de
clients multiplesclients multiplesAlertes, gestion de Alertes, gestion de
rapports rapports centraliséescentralisées
MicrosoftMicrosoftClientClient
Protection Protection
Pour l’utilisateur Pour l’utilisateur individuelindividuel
Pour l’entreprisePour l’entreprise
MSRT MSRT Windows Windows DefenderDefender
Windows Windows Live Safety Live Safety
Center Center
Windows Windows OneCare OneCare
Live Live
BientôtBientôt
(1) Windows authentique(2) publicité(3) abonnement
Gratuit Gratuit (1)(1) Gratuit Gratuit (2)(2)
Anti-malwareAnti-malware et Windows et Windows VistaVista
Windows Vista n’intègre pas de protection antivirus en temps réel. Cependant, Windows Vista inclut Windows Defender et utilise l’outil de suppression des logiciels malveillants (MSRT)Les cellules en vert indiquent ce qui est inclus dans le système d’exploitation
Analyse et supprimeProtection en
temps réel
Traite les spywares (et potentiellement les logiciels non désirés)
Windows Defender Windows Defender
Traite les virus, vers ou chevaux de troie
MSRT(Malicious Software
Removal Tool)
Produits tiers, OneCare, Microsoft Client Protection
Administration
Plateforme MicrosoftPlateforme Microsoft
Exécution
ProcessusDonnées
SécuritéClient
Collaboration
