Nouveautés de sécurité de Windows Vista

Nouveautés de sécurité de Windows Vista

Pascal SauliereCyril Voisin

Microsoft France

Sommaire

FondamentauxFondamentaux

Atténuation des menaces et des Atténuation des menaces et des vulnérabilitésvulnérabilités

Gestion de l’identité et de l’accèsGestion de l’identité et de l’accès

Avertissement

Les démonstrations et informations Les démonstrations et informations données dans cette présentation, se données dans cette présentation, se basent sur une version préliminaire basent sur une version préliminaire de Windows Vista (pré-bêta 2), les de Windows Vista (pré-bêta 2), les informations présentées peuvent informations présentées peuvent être soumises à changement et ce être soumises à changement et ce jusqu’à la mise à disposition jusqu’à la mise à disposition commerciale du logiciel en version commerciale du logiciel en version finale.finale.© 2006 Microsoft Corporation. Tous droits réservés.© 2006 Microsoft Corporation. Tous droits réservés.

Windows VistaFondamentaux

Système développé dans le cadre du Security Système développé dans le cadre du Security Development LifecycleDevelopment Lifecycle

Intégrité du code pour protéger les fichiers de Intégrité du code pour protéger les fichiers de l’OS (Code Integrity)l’OS (Code Integrity)Réduction des redémarrages et facilité Réduction des redémarrages et facilité d’obtention d’un statut sur la sécurité d’obtention d’un statut sur la sécurité

Agent d’analyse de la sécurité unique (Windows Agent d’analyse de la sécurité unique (Windows Update Agent)Update Agent)API Restart Manager API Restart Manager Amélioration du Centre de sécuritéAmélioration du Centre de sécurité

Contrôle de l’installation des périphériques Contrôle de l’installation des périphériques amoviblesamovibles

Démonstration

Démonstration

Centre de sécuritéWindows Update

Démonstration

Démonstration

Gestion des périphériques

amovibles

Protéger contre les logiciels malveillants (Protéger contre les logiciels malveillants (malware)malware) et et les intrusionsles intrusions

IsolationIsolationPréventionPrévention RétablissementRétablissement

Limiter l’impact à Limiter l’impact à travers l’isolationtravers l’isolation

Revenir à un état Revenir à un état connuconnu

Stopper les attaques Stopper les attaques connues et connues et inconnuesinconnues

Anti-spyware (Windows Anti-spyware (Windows Defender)Defender)Anti-spamAnti-spamAnti-phishingAnti-phishing

Pare-feu personnelPare-feu personnelIPSecIPSecUser Account ControlUser Account ControlAméliorations d’IEAméliorations d’IERenforcement des services Renforcement des services WindowsWindowsNetwork Access ProtectionNetwork Access Protection

Restauration du système Restauration du système (System Restore)(System Restore)Malicious Software Removal Malicious Software Removal ToolToolIntellimirrorIntellimirror®®

Atténuation des menaces et des vulnérabilités

Démonstration

Démonstration

Windows Defender

Démonstration

Démonstration

UAC (User Account Control)

Démonstration

Démonstration

Filtre antiphishing d’Internet Explorer

Démonstration

Démonstration

Pare-feu (filtrage sortant, règle IPsec)

Démonstration

Démonstration

Windows Service Hardening

Gestion de la Gestion de la politique d’accèspolitique d’accès

Identité digne Identité digne de confiancede confiance

Protection de Protection de l’Informationl’Information

Fournir l’accès en Fournir l’accès en fonction de la fonction de la

politique de sécuritépolitique de sécurité

Protéger les données Protéger les données au long du cycle de au long du cycle de

vievie

Assurer que les Assurer que les utilisateurs sont bien utilisateurs sont bien ce qu’ils disent être ; ce qu’ils disent être ; gestion du cycle de gestion du cycle de

vie de l’identitévie de l’identité

Authentification forte (carte Authentification forte (carte à puce, etc.)à puce, etc.)Services de certificats Services de certificats (PKI)(PKI)

Role-based Access ControlRole-based Access ControlGroup Policy Management Group Policy Management ConsoleConsoleAmélioration de l’auditAmélioration de l’auditContrôle parentalContrôle parental

Rights Management ServicesRights Management ServicesServices de chiffrementServices de chiffrementProtocoles et canaux Protocoles et canaux sécuriséssécurisésServices de sauvegarde et de Services de sauvegarde et de récupérationrécupérationBitlocker Drive EncryptionBitlocker Drive Encryption

Permet uniquement aux utilisateurs légitimes un accès sécurisé et Permet uniquement aux utilisateurs légitimes un accès sécurisé et basé sur une politique de sécurité aux machines, applications et basé sur une politique de sécurité aux machines, applications et

donnéesdonnées

Gestion de l’identité et de l’accès

Démonstration

Démonstration

Contrôle parental

Démonstration

Démonstration

Bitlocker Drive Encryption

Compléments

CD Vista SécuritéCD Vista SécuritéPrésentation complètePrésentation complète

23 démonstrations enregistrées23 démonstrations enregistrées

……

Annexe de cette présentation (150 Annexe de cette présentation (150 diapositives), téléchargeable en lignediapositives), téléchargeable en ligne

Microsoft FranceMicrosoft France18, avenue du Québec18, avenue du Québec

91 957 Courtaboeuf Cedex91 957 Courtaboeuf Cedex

www.microsoft.com/france

0 825 827 8290 825 827 829

msfrance@microsoft.commsfrance@microsoft.com

AnnexeAnnexe

Préambule

Cette présentation a pour but :Cette présentation a pour but :

de vous faire découvrir ce que vous de vous faire découvrir ce que vous pourrez faire en matière de sécurité pourrez faire en matière de sécurité avec Windows Vistaavec Windows Vista

de vous exposer certains éléments du de vous exposer certains éléments du fonctionnement interne de cette fonctionnement interne de cette nouvelle version majeure de Windows nouvelle version majeure de Windows (ce qui a été fait pour rendre son (ce qui a été fait pour rendre son utilisation plus sécurisée)utilisation plus sécurisée)

Sommaire

Introduction et contexteIntroduction et contexteL’initiative pour l’informatique de confianceL’initiative pour l’informatique de confianceLa vision de Microsoft de la sécuritéLa vision de Microsoft de la sécuritéLes axes de focalisationLes axes de focalisationLes investissements technologiquesLes investissements technologiques

Les fondamentaux dans Windows VistaLes fondamentaux dans Windows VistaL’atténuation des menaces et des L’atténuation des menaces et des vulnérabilitésvulnérabilitésLa gestion des identités et des accèsLa gestion des identités et des accèsSynthèse Synthèse

Excellence de l’ingénierie, Protection Excellence de l’ingénierie, Protection fondamentale, Accès sécurisé, Contrôle intégréfondamentale, Accès sécurisé, Contrôle intégré

Stratégie de sécurité de Microsoft

Initiative pour l’informatique de confianceInitiative pour l’informatique de confianceSécurité, respect de la vie privée, fiabilité, Sécurité, respect de la vie privée, fiabilité, intégrité commercialeintégrité commerciale

La vision de Microsoft de la sécurité La vision de Microsoft de la sécurité Etablir la CONFIANCE en l’informatique afin de Etablir la CONFIANCE en l’informatique afin de permettre la réalisation du plein potentiel d’un permettre la réalisation du plein potentiel d’un monde interconnecté monde interconnecté

Les axes de focalisationLes axes de focalisationInvestissements technologiquesInvestissements technologiques

FondamentauxFondamentauxAtténuation des menaces et des vulnérabilitésAtténuation des menaces et des vulnérabilitésContrôle d’accès et d’identitéContrôle d’accès et d’identité

Conseils prescriptifsConseils prescriptifsPartenariatsPartenariats

Fondamentaux

Security Development Security Development LifecycleLifecycleSecurity Response CenterSecurity Response Center

Intégrité du code pour Intégrité du code pour protéger les fichiers de l’OSprotéger les fichiers de l’OSRéduction des redémarrages Réduction des redémarrages et facilité d’obtention d’un et facilité d’obtention d’un statut sur la sécuritéstatut sur la sécurité

Agent d’analyse de la sécurité Agent d’analyse de la sécurité unique (Windows Update Agent)unique (Windows Update Agent)Restart ManagerRestart Manager

Amélioration du Centre de Amélioration du Centre de sécuritésécuritéContrôle de l’installation des Contrôle de l’installation des périphériques amoviblespériphériques amovibles

Excellence de l’ingénierieProcessus de développement de Windows Vista

Processus amélioré de Processus amélioré de Security Development Security Development LifecycleLifecycle (SDL) pour Windows Vista (SDL) pour Windows Vista

Formation périodique obligatoire à la sécuritéFormation périodique obligatoire à la sécurité

Assignation de conseillers en sécurité pour tous Assignation de conseillers en sécurité pour tous les composantsles composants

Modélisation des menaces intégré à la phase de Modélisation des menaces intégré à la phase de conceptionconception

Revues de sécurité et tests de sécurité inclus dans Revues de sécurité et tests de sécurité inclus dans le planningle planning

Mesures de la sécurité pour les équipes produitMesures de la sécurité pour les équipes produit

Certification Critères Communs (CC)Certification Critères Communs (CC)

Code Integrity

Code IntegrityCode Integrity protège les fichiers du protège les fichiers du système d’exploitation lorsque celui-ci système d’exploitation lorsque celui-ci est en cours d’exécutionest en cours d’exécution

Signature de tous les exécutables et DLL du Signature de tous les exécutables et DLL du système d’exploitationsystème d’exploitationVérification de la validité des signatures lors Vérification de la validité des signatures lors du chargement en mémoiredu chargement en mémoire

Le but est ici de s’assurer qu’un logiciel Le but est ici de s’assurer qu’un logiciel malveillant ne remplace pas un fichier malveillant ne remplace pas un fichier du système d’exploitation ou n’injecte du système d’exploitation ou n’injecte pas un pilote non signé afin de pas un pilote non signé afin de compromettre une partie du système compromettre une partie du système d’exploitationd’exploitation

Code Integrity

Binaires vérifiés (hash vérifié):Binaires vérifiés (hash vérifié):Ceux chargés en mode noyau (tout le binaire)Ceux chargés en mode noyau (tout le binaire)Ceux chargé dans un processus protégé - un seul : Media Ceux chargé dans un processus protégé - un seul : Media Foundation PMP (par page)Foundation PMP (par page)Les DLL installées par le système qui implémentent des Les DLL installées par le système qui implémentent des fonctions cryptographiques (par page)fonctions cryptographiques (par page)

En cas d’échec de la vérificationEn cas d’échec de la vérificationComportement dicté par la politique CIComportement dicté par la politique CISystem Recovery gère les échecs pour les fichiers System Recovery gère les échecs pour les fichiers nécessaires au bootnécessaires au bootSi échec de vérification d’une page en mode utilisateur, Si échec de vérification d’une page en mode utilisateur, exception levée qui résulte souvent en l’échec de exception levée qui résulte souvent en l’échec de l’applicationl’applicationEnregistrement d’événements dans Enregistrement d’événements dans Event Viewer / Application Logs / Microsoft / Event Viewer / Application Logs / Microsoft / Windows / CodeIntegrityWindows / CodeIntegrity

Rendre plus facile la gestion des correctifs

Moins de correctifs, Moins de correctifs, plus petite tailleplus petite taille

Outil commun Outil commun d’analysed’analyse

Application directe des Application directe des correctifs à une imagecorrectifs à une image

Moins de redémarragesMoins de redémarrages

Mise à jour automatique pour Mise à jour automatique pour tout tout

Expérience avec les mises à Expérience avec les mises à jour : cohérence et fiabilitéjour : cohérence et fiabilité

Moins d’interruption de l’utilisateur

Moins de temps nécessaire pour les administrateurs

Restart Manager

Nouvelle API pour diminuer le nombre Nouvelle API pour diminuer le nombre de redémarrages liés à l’application de de redémarrages liés à l’application de correctifs de sécuritécorrectifs de sécuritéExemple : les applications Office12 Exemple : les applications Office12 tirent parti des API de notifications tirent parti des API de notifications d’arrêt et de redémarraged’arrêt et de redémarrage

permet la récupération de l’état et du permet la récupération de l’état et du document après un redémarrage applicatifdocument après un redémarrage applicatif

ShutdownAPI

Sauvegarde du fichier de travail, des états

Fermeture de l’application

Restart API

Redémarrage de l’application

Reprend le fichier de travail, les états

Gouverner l’usage des périphériques

Ajouter la prise en charge de périphériques Ajouter la prise en charge de périphériques et autoriser ou interdire leur installationet autoriser ou interdire leur installation

Les pilotes approuvés par le service informatique Les pilotes approuvés par le service informatique peuvent être ajoutés dans le peuvent être ajoutés dans le Trusted Driver StoreTrusted Driver Store ((stagingstaging) )

Les Les Driver Store PoliciesDriver Store Policies (stratégies de groupe) (stratégies de groupe) déterminent le comportement pour les déterminent le comportement pour les packagespackages de pilote qui ne sont pas dans le de pilote qui ne sont pas dans le Driver StoreDriver Store. Par . Par exemple :exemple :

Pilotes qui ne sont pas aux standards de l’entreprisePilotes qui ne sont pas aux standards de l’entreprise

Pilotes non signésPilotes non signés

Ces stratégies sont désactivées par défaut en Ces stratégies sont désactivées par défaut en raison des risques inhérents aux pilotes raison des risques inhérents aux pilotes arbitrairesarbitraires

Driver Store

Le Le Driver StoreDriver Store est un entrepôt de confiance sur est un entrepôt de confiance sur chaque machine clientechaque machine cliente

Une fois qu’un pilote est ajouté au Une fois qu’un pilote est ajouté au Driver StoreDriver Store par par un administrateur, il peut être installé quelles que un administrateur, il peut être installé quelles que soient les permissions de l’utilisateur qui a ouvert soient les permissions de l’utilisateur qui a ouvert une sessionune session

AjoutAjout InstallationInstallation

Nécessite les privilèges d’administrateur (ou configuration)

Indépendant des permissions

(si déjà ajouté)

Driver Package Integrity

Changements dans l’implémentation de la Changements dans l’implémentation de la signature des pilotessignature des pilotesLes administrateurs doivent être en mesure Les administrateurs doivent être en mesure de savoir :de savoir :

Qui a publié un package d’installation de Qui a publié un package d’installation de pilotepiloteQue le package d’installation de pilote n’a Que le package d’installation de pilote n’a pas été altéré depuis qu’il a été publiépas été altéré depuis qu’il a été publié

Les administrateurs peuvent finalement Les administrateurs peuvent finalement signer les pilotes, et définir une politique signer les pilotes, et définir une politique pour faire confiance à ce qu’ils ont signépour faire confiance à ce qu’ils ont signéLes pilotes signés par un éditeur de Les pilotes signés par un éditeur de confiance peuvent être installés par les confiance peuvent être installés par les utilisateurs standardsutilisateurs standards

Stratégie de groupeInstallation de périphériques

Protéger contre les logiciels malveillants (Protéger contre les logiciels malveillants (malware)malware) et et les intrusionsles intrusions

IsolationIsolationPréventionPrévention RétablissementRétablissement

Limiter l’impact à Limiter l’impact à travers l’isolationtravers l’isolation

Revenir à un état Revenir à un état connuconnu

Stopper les attaques Stopper les attaques connues et connues et inconnuesinconnues

Anti-spyware (Windows Anti-spyware (Windows Defender)Defender)Anti-spamAnti-spamAnti-phishingAnti-phishing

Pare-feu personnelPare-feu personnelIPSecIPSecUser Account ControlUser Account ControlAméliorations d’IEAméliorations d’IERenforcement des services Renforcement des services WindowsWindowsNetwork Access ProtectionNetwork Access Protection

Restauration du système Restauration du système (System Restore)(System Restore)Malicious Software Removal Malicious Software Removal ToolToolIntellimirrorIntellimirror®®

Atténuation des menaces et des vulnérabilités

Fonctions intégrées anti-malware

Windows DefenderWindows DefenderFonctions intégrées de détection, nettoyage, et Fonctions intégrées de détection, nettoyage, et blocage en temps réel des spywares (dont blocage en temps réel des spywares (dont intégration avec Internet Explorer pour fournir intégration avec Internet Explorer pour fournir une analyse antispyware avant téléchargement)une analyse antispyware avant téléchargement)

9 agents de surveillance9 agents de surveillanceSystème de scan rapide intelligentSystème de scan rapide intelligent

Ciblé pour les consommateurs (pas de fonctions Ciblé pour les consommateurs (pas de fonctions de gestion en entreprise)de gestion en entreprise)

La gestion en entreprise est possible avec le produit La gestion en entreprise est possible avec le produit payant séparé Microsoft Client Protectionpayant séparé Microsoft Client Protection

MSRT (MSRT (Microsoft Malicious Software Microsoft Malicious Software Removal ToolRemoval Tool) intégré permet de supprimer ) intégré permet de supprimer virus, bots, et chevaux de Troie pendant virus, bots, et chevaux de Troie pendant une mise à jour et sur une base mensuelleune mise à jour et sur une base mensuelle

Windows Firewall with Advanced Security

Gestion combinée d’IPsec et du pare-feuGestion combinée d’IPsec et du pare-feuNouvelle MMC (Nouvelle MMC (Windows Firewall with Windows Firewall with Advanced SecurityAdvanced Security))

Nouvelles commandes en ligne (Nouvelles commandes en ligne (netsh netsh advfirewalladvfirewall))

Politique de protection simplifiéePolitique de protection simplifiéeRéduit de manière spectaculaire le nombre Réduit de manière spectaculaire le nombre d’exemptions IPsec nécessaires dans un d’exemptions IPsec nécessaires dans un déploiement de grande ampleurdéploiement de grande ampleur

Gestion à distanceGestion à distance

Modèle d’administration

Windows XP SP2/Windows 2003 SP1:Windows XP SP2/Windows 2003 SP1:Bloque par défaut les connexions entrantes non Bloque par défaut les connexions entrantes non sollicitéessollicitéesLes exceptions autorisent des ports ou des Les exceptions autorisent des ports ou des programmes, pour certaines adresses sources ou programmes, pour certaines adresses sources ou sous-réseausous-réseau

Windows Vista/Windows Server “Longhorn”:Windows Vista/Windows Server “Longhorn”:Les règles de pare-feu deviennent plus Les règles de pare-feu deviennent plus intelligentes:intelligentes:

Spécification de groupes d’utilisateurs ou de machines Spécification de groupes d’utilisateurs ou de machines Active DirectoryActive DirectorySpécification de prérequis de sécurité comme Spécification de prérequis de sécurité comme l’authentification ou le chiffrementl’authentification ou le chiffrement

Isolation de domaine et de serveur

Segmentation Segmentation dynamique de dynamique de

votre votre environnement environnement

WindowsWindows®® en des en des réseaux plus réseaux plus

sécuriséssécurisés et et isolés isolés logiquementlogiquement, , d’après une d’après une

politiquepolitique

LabosLabosInvités non Invités non gérésgérés

Isolation de Isolation de serveurserveur

Protéger des serveurs et des données Protéger des serveurs et des données spécifiques de grande valeurspécifiques de grande valeur

Isolation de Isolation de domainedomaine

Protéger des machines gérées des machines Protéger des machines gérées des machines non gérées ou des intrus (machines ou non gérées ou des intrus (machines ou utilisateurs)utilisateurs)

Segmentation dynamique basée sur une politique

DéfianceDéfiance

Ordinateur non géré ou intrus

Isolation de domaine

Contrôleur de domaine Active Directory

X

Isolation de serveur

Serveurs avec des données

sensibles

Poste de travail RH

Ordinateur géré

X

Ordinateur géré

Serveur de ressources de

confiance

Réseau d’entreprise

Définition des frontières de l’isolation logiqueDistribution des politiques et lettres de créanceLes ordinateurs gérés peuvent communiquerBlocage des connexions entrantes depuis

des machines non géréesAccès compartimenté aux ressources sensibles

Fonctionnalités du pare-feu avancé

Filtrage entrant et sortant avec tables d’état Filtrage entrant et sortant avec tables d’état pour IPv4 et IPv6pour IPv4 et IPv6

Règles par défaut configurables : Règles par défaut configurables : Par défaut les flux entrants sont bloquésPar défaut les flux entrants sont bloquésPar défaut les flux sortants sont autorisésPar défaut les flux sortants sont autorisés

ICMPv4 et ICMPv6ICMPv4 et ICMPv6Filtrage de protocoles IP personnalisésFiltrage de protocoles IP personnalisés

Règles pour les programmes en utilisant le Règles pour les programmes en utilisant le chemin ou le nom de servicechemin ou le nom de serviceSupport des types d’interface (RAS, LAN, Wi-Support des types d’interface (RAS, LAN, Wi-Fi)Fi)Possibilité de contournement administratif Possibilité de contournement administratif du pare-feudu pare-feu

Fonctionnalités du pare-feu avancé

Granularité de la politique de sécurité réseau Granularité de la politique de sécurité réseau de l’hôtede l’hôte

Autoriser, Bloquer, autoriser si politiques Autoriser, Bloquer, autoriser si politiques sécuriséessécuriséesExceptions sur les utilisateursExceptions sur les utilisateursExceptions sur les groupesExceptions sur les groupes

Profils de politique selon la positionProfils de politique selon la positionProfil de domaine et profil standardProfil de domaine et profil standardLa connectivité au domaine est authentifiéeLa connectivité au domaine est authentifiée

Nouveaux algorithmes cryptographiquesNouveaux algorithmes cryptographiquesChiffrement : AES-128, AES-192, AES-256Chiffrement : AES-128, AES-192, AES-256Échange de clés : ECDH P-256, ECDH P-384 Échange de clés : ECDH P-256, ECDH P-384

Restrictions sur les services (filtrage basé sur Restrictions sur les services (filtrage basé sur les SID de services)les SID de services)

Network Access Protection

La surcouche santé des réseauxLa surcouche santé des réseauxAperçu de NAPAperçu de NAP

Validation vis à vis de la politiqueValidation vis à vis de la politiqueDétermine si oui ou non les machines sont conformes avec Détermine si oui ou non les machines sont conformes avec la politique de sécurité de l’entreprise. Les machines la politique de sécurité de l’entreprise. Les machines conformes sont dites “saines” (ou « en bonne santé »)conformes sont dites “saines” (ou « en bonne santé »)

Restriction réseauRestriction réseauRestreint l’accès au réseau selon l’état de santé des Restreint l’accès au réseau selon l’état de santé des machinesmachines

Mise à niveauMise à niveauFournit les mises à jour nécessaires pour permettre à la Fournit les mises à jour nécessaires pour permettre à la machine de devenir “saine”. Une fois “en bonne santé”, les machine de devenir “saine”. Une fois “en bonne santé”, les restrictions réseau sont levéesrestrictions réseau sont levées

Maintien de la conformitéMaintien de la conformitéLes changements de la politique de sécurité de l’entreprise Les changements de la politique de sécurité de l’entreprise ou de l’état de santé des machines peuvent résulter ou de l’état de santé des machines peuvent résulter dynamiquement en des restrictions réseaudynamiquement en des restrictions réseau

Demande d’accès ?Voici mon nouveau status

Est ce que le client doit être restreint en fonction de son status?

En accord avec la politique, le client n’est pas à jour. Mise en quarantaine et demande au client de se mettre à jour

Puis je avoir accès ?Voici mon status actuel

En accord avec la politique, le client est à jourAccès autorisé

NAP : principe de fonctionnement

IAS PolicyServer

Client Network Access Device

(DHCP, VPN)

Remediation Servers

(antivirus, système de maj de correctifs…)

Mise à jour du serveur IAS avec les politiques

en cours

Vous avez droit à un accès restreint tant que vous n’êtes pas à jour

Puis je avoir les mises à jour ?

Les voici

Réseau de l’entreprise

Réseau restreint (quarantaine)

Le Client obtient l’accès complet à l’Intranet

System Health Servers

(défini les pré requis du client)

SSystem ystem HHealth ealth VValidatorsalidatorsMicrosoft et 3Microsoft et 3rdrd Parties Parties

QQuarantine uarantine SServererver

SSystem ystem HHealth ealth AAgentsgentsMicrosoft et 3Microsoft et 3rdrd Parties Parties(AV/Patch/FW/Other)(AV/Patch/FW/Other)

QQuarantine uarantine AAgentgent

QQuarantine uarantine EEnforcement nforcement CClientlientMicrosoft et 3Microsoft et 3rdrd Parties Parties

DHCP/VPN/IPsec/802.1xDHCP/VPN/IPsec/802.1x

Les menaces

Blaster : utilisait RPCSS pour écrire Blaster : utilisait RPCSS pour écrire msblast.exe sur le disque et ajouter msblast.exe sur le disque et ajouter quelques clés Run dans le registrequelques clés Run dans le registreAutres exemples : Sasser (LSASS), Code Autres exemples : Sasser (LSASS), Code Red (IIS), Slammer (SQL)Red (IIS), Slammer (SQL)Des vulnérabilités dans les services ont Des vulnérabilités dans les services ont existé et d’autres seront découvertesexisté et d’autres seront découvertesLes services sont des cibles attractives Les services sont des cibles attractives pour les logiciels malveillants :pour les logiciels malveillants :

Pas d’interaction avec l’utilisateurPas d’interaction avec l’utilisateurUn bon nombre s’exécutent en tant que Un bon nombre s’exécutent en tant que LocalSystem (tous les droits sur le système…)LocalSystem (tous les droits sur le système…)

Réduire la taille des Réduire la taille des couches à haut risquecouches à haut risque

Admin

Services

DDDDDD

Utilisateur

Noyau

DD Pilotes en mode noyau

Service 1

Service 2

Service 3

Service …

Service …

Services restreints

Programmes avec droits restreints

DD DDDD

Segmenter les Segmenter les servicesservices

Augmenter le Augmenter le nombre de nombre de couchescouches

Service A

Service B

Renforcement des services WindowsDéfense en profondeur (refactorisation, création de profils)

DD Pilotes en mode utilisateur

Durcissement des services WindowsDéfense en profondeur

Établissement d’un profil pour Établissement d’un profil pour les services Windows indiquant les services Windows indiquant les actions autorisées pour le les actions autorisées pour le réseau, le système de fichiers réseau, le système de fichiers et le registreet le registre

Conçu pour bloquer les Conçu pour bloquer les tentatives de détournement tentatives de détournement d’un service Windows pour d’un service Windows pour écrire à un endroit qui ne fait écrire à un endroit qui ne fait pas partie du profil du servicepas partie du profil du service

Réduit le risque de propagation Réduit le risque de propagation d’un logiciel malveillantd’un logiciel malveillant

Durcissement de servicesDurcissement de services

Système de fichiers

Registre

Réseau

ImplémentationPrincipe de moindre privilège

RefactoringRefactoringPasser de LocalSystem à un compte moins Passer de LocalSystem à un compte moins privilégiéprivilégié

Si nécessaire, séparer la partie qui nécessite Si nécessaire, séparer la partie qui nécessite LocalSystemLocalSystem

ProfilingProfiling : services restreints : services restreintsPermissions explicites par service: registre, fichiersPermissions explicites par service: registre, fichiers

Règles réseauRègles réseau

Rend possible l’utilisation des comptes Rend possible l’utilisation des comptes LocalService et NetworkService et les permissions LocalService et NetworkService et les permissions supplémentaires si besoinsupplémentaires si besoin

Services restreints

Service restreint :Service restreint :Privilèges nécessairesPrivilèges nécessairesRègles réseauRègles réseau

Le SCM, au démarrage du service :Le SCM, au démarrage du service :Calcule le SID du service :Calcule le SID du service :

S-1-80-{SHA-1 du nom du service}S-1-80-{SHA-1 du nom du service}

Crée un jeton restreint (par le SID de service) et Crée un jeton restreint (par le SID de service) et ne contenant que les privilèges nécessairesne contenant que les privilèges nécessaires

Permissions explicites sur le SID du Permissions explicites sur le SID du service : registre, fichiersservice : registre, fichiersRend possible l’utilisation des comptes Rend possible l’utilisation des comptes LocalServiceLocalService et et NetworkServiceNetworkService et les et les permissions supplémentaires si besoinpermissions supplémentaires si besoin

Points douloureux

Virus et spywaresVirus et spywaresLes virus et spywares peuvent endommager plus le Les virus et spywares peuvent endommager plus le système s’ils s’exécutent avec des privilèges élevéssystème s’ils s’exécutent avec des privilèges élevésEn entreprise, les utilisateurs ayant des privilèges En entreprise, les utilisateurs ayant des privilèges élevés peuvent compromettre l’ensemble du SIélevés peuvent compromettre l’ensemble du SI

Des applications nécessitent des privilèges Des applications nécessitent des privilèges élevés, parfois non justifiésélevés, parfois non justifiés

La sécurité du système doit être relâchée pour ces La sécurité du système doit être relâchée pour ces applicationsapplications

Certaines tâches nécessitent des privilèges Certaines tâches nécessitent des privilèges élevésélevés

Difficile de déployer certaines applications sans Difficile de déployer certaines applications sans compromettre la sécurité du systèmecompromettre la sécurité du systèmeDes scénarios comme la mobilité ne fonctionnent pasDes scénarios comme la mobilité ne fonctionnent pas

Moindre privilège dans Windows Vista

Permettre aux entreprises de déployer Permettre aux entreprises de déployer un poste de travail plus sécurisé et un poste de travail plus sécurisé et gérable, et permettre un contrôle gérable, et permettre un contrôle parental à la maisonparental à la maison

Assurer que les utilisateurs peuvent Assurer que les utilisateurs peuvent effectuer toutes les tâches couranteseffectuer toutes les tâches courantes

Fournir une élévation de privilège simple et Fournir une élévation de privilège simple et sécurisée pour l’installation, la sécurisée pour l’installation, la désinstallation et les tâches désinstallation et les tâches administrativesadministratives

Protéger les tâches administratives des Protéger les tâches administratives des applications de l’utilisateurapplications de l’utilisateur

Objectifs d’UAC

Tous les utilisateurs s’exécutent comme des Tous les utilisateurs s’exécutent comme des utilisateurs standards même s’ils sont utilisateurs standards même s’ils sont administrateursadministrateurs

Tâches courantes revues pour fonctionner en tant Tâches courantes revues pour fonctionner en tant qu’utilisateur standardqu’utilisateur standardNe concerne que le logon interactifNe concerne que le logon interactif

Les administrateurs n’utilisent leurs privilèges Les administrateurs n’utilisent leurs privilèges que pour les tâches ou applications que pour les tâches ou applications administrativesadministrativesL’utilisateur fournit un consentement explicite L’utilisateur fournit un consentement explicite avant d’utiliser des privilèges élevésavant d’utiliser des privilèges élevésHaute compatibilité des applicationsHaute compatibilité des applicationsLes installateurs d’applications sont détectésLes installateurs d’applications sont détectésLes applications nécessitant des privilèges Les applications nécessitant des privilèges « admin » peuvent être marquées comme telles« admin » peuvent être marquées comme telles

Définitions

UtilisateurUtilisateurCompte n’appartenant pas au groupe local AdministrateursCompte n’appartenant pas au groupe local AdministrateursNe peut pas effectuer des changements sur le système complet (à Ne peut pas effectuer des changements sur le système complet (à quelques exceptions près comme les paramètres d’affichage)quelques exceptions près comme les paramètres d’affichage)Utilisateur à moindre privilège (LUA) ou Utilisateur StandardUtilisateur à moindre privilège (LUA) ou Utilisateur Standard

AdministrateurAdministrateurCompte appartenant au groupe local AdministrateursCompte appartenant au groupe local AdministrateursPar défaut les mêmes privilèges qu’un Utilisateur, mais a la Par défaut les mêmes privilèges qu’un Utilisateur, mais a la possibilité de les élever pour avoir un accès complet à la machine possibilité de les élever pour avoir un accès complet à la machine Administrateur protégé (PA)Administrateur protégé (PA)

Mode consentementMode consentementMode dans lequel il est demandé son consentement à Mode dans lequel il est demandé son consentement à l’Administrateur avant d’effectuer une tâche administrative –l’Administrateur avant d’effectuer une tâche administrative –sauf sauf pour le compte local Administrateurpour le compte local Administrateur

Mode saisieMode saisieDemande d’intervention d’un administrateur (authentification : Demande d’intervention d’un administrateur (authentification : nom/mot de passe, carte à puce…)nom/mot de passe, carte à puce…)Lorsqu’un Utilisateur effectue une tâche administrativeLorsqu’un Utilisateur effectue une tâche administrative

Meilleure expérience des utilisateurs standards

Corriger/supprimer les contrôles admin Corriger/supprimer les contrôles admin inappropriésinappropriés

Exemple typique : l’horloge systèmeExemple typique : l’horloge systèmeAjout d’imprimante, d’autres périphériques, Ajout d’imprimante, d’autres périphériques, changement de fuseau horaire, défragmenteur, changement de fuseau horaire, défragmenteur, options d’alimentation, ajout d’une clé WEP/WPA…options d’alimentation, ajout d’une clé WEP/WPA…Cacher certains éléments de l’interface si Cacher certains éléments de l’interface si l’utilisateur n’est pas administrateurl’utilisateur n’est pas administrateur

Utilisateur standard par défaut lors de la Utilisateur standard par défaut lors de la créationcréationBouclier pour identifier lesBouclier pour identifier lesopérations « admin »opérations « admin »

Demande d’élévation de privilègesPour un utilisateur standard

2 jetons pour un administrateur

Jeton restreint par défautPrivilèges d’un utilisateur standard

Jeton completPrivilèges d’un administrateur

Consentement par défaut

Élévation de privilège

À la demande :À la demande :

Systématiquement,Systématiquement,par les propriétés de l’exécutable :par les propriétés de l’exécutable :

Demande d’élévation de privilègesPour un administrateurApplication du système ou signéeApplication du système ou signée

Application non signéeApplication non signée

ConsentementConsentementouou

Saisie de mot de passeSaisie de mot de passe

Avertissement

Windows Vista permet à un Windows Vista permet à un administrateur de faire une utilisation administrateur de faire une utilisation plus raisonnable de ses privilèges mais plus raisonnable de ses privilèges mais un administrateur demeure un un administrateur demeure un administrateuradministrateur

L’objectif global N’est PAS de permettre L’objectif global N’est PAS de permettre à plus d’utilisateurs d’être à plus d’utilisateurs d’être administrateurs mais bien l’inverseadministrateurs mais bien l’inverse

Configuration d’UAC

Secpol.msc, Local Policies, Security Secpol.msc, Local Policies, Security OptionsOptions

6 paramètres :6 paramètres :

Compatibilité

Problème : applications qui ne fonctionnent pas Problème : applications qui ne fonctionnent pas correctement sans privilèges élevéscorrectement sans privilèges élevésVirtualisationVirtualisation

Écriture : redirige les écritures « par machine » Écriture : redirige les écritures « par machine » (disque, registre) vers le profil utilisateur(disque, registre) vers le profil utilisateur

Program Files, HKLMProgram Files, HKLM

Lecture : essaie de lire depuis le profil utilisateur en Lecture : essaie de lire depuis le profil utilisateur en premierpremier

Outil : LUA PredictorOutil : LUA PredictorIdentifie les appels (API) qui ne fonctionneraient pas Identifie les appels (API) qui ne fonctionneraient pas en tant qu’utilisateur standarden tant qu’utilisateur standardIdentifie les accès requérant un privilège Identifie les accès requérant un privilège administrateuradministrateurhttp://www.microsoft.com/windows/appcompatibility/http://www.microsoft.com/windows/appcompatibility/default.mspxdefault.mspx

Microsoft Application Compatibility ManagerMicrosoft Application Compatibility Manager

Send Data Cancel

Hide the specific applications to be shared with the ACT Community

Application Name Version Vendor

Adobe Acrobat Reader 7.0.9.0 ADOBE

Photo Shop 10.0 ADOBE

Roxy CD Creator 11.0 ROXY

Micorsoft Office 12.0 Microsoft

You are about to share your application and issue data with Microsoft Corporation; and anonymously with the ACT Community. You will receive compatibility issue information, based on your company’s applications, from both Microsoft and the ACT Community.

View an example of the data sent

Refer to the Privacy Statement for information on how this data is used.

Customize, categorize and prioritize applications

Reporting and analysis Automated mitigation of known issues

Comprehensive compatibility

ratings

Centralized Agent

Configuration

Option to share compatibility

data

Application Compatibility Toolkit (ACT) 5Réduction des coûts d’intégration

Isolation des processus

Processus à différents Processus à différents niveaux sur le même bureauniveaux sur le même bureauLe niveau de privilège Le niveau de privilège (admin, LUA) détermine le (admin, LUA) détermine le niveau d’intégriténiveau d’intégritéIntégrité ~ confianceIntégrité ~ confianceIsole les interactions Isole les interactions spécifiques entre les spécifiques entre les niveaux de privilègeniveaux de privilège

Bas ne peut pas écrire dans Bas ne peut pas écrire dans hauthaut

Blocage à la frontière des Blocage à la frontière des niveaux d’intégriténiveaux d’intégrité

Attaques ShatterAttaques ShatterInjection de DLLInjection de DLL

Compatibilité applicative Compatibilité applicative inchangée au même niveau inchangée au même niveau d’intégritéd’intégrité

IE

Word PPT

Console AV CPL

ServiceSystème

System

Admin

Utilisateur/LUA

Limité

exe téléchargé

Niveau d’intégrité

Isolation des processus

Deux jetons pour un administrateur : complet et Deux jetons pour un administrateur : complet et restreintrestreint

Les deux ont le même SID utilisateurLes deux ont le même SID utilisateurLe niveau d’intégrité (IL) est ajouté aux jetons pour les isoler Le niveau d’intégrité (IL) est ajouté aux jetons pour les isoler (c’est un SID de la forme (c’est un SID de la forme S-1-5-40-S-1-5-40-<niveau>)<niveau>)Les IL sont obligatoires et ne peuvent pas être changés Les IL sont obligatoires et ne peuvent pas être changés durant leurs cycles de viedurant leurs cycles de vie

Les processus LUA ont un niveau d’intégrité inférieur Les processus LUA ont un niveau d’intégrité inférieur et ne peuvent paset ne peuvent pas

Effectuer une élévation de privilèges en modifiant des Effectuer une élévation de privilèges en modifiant des processus PAprocessus PAEnvoyer des messages à des fenêtres d’un processus PA… Envoyer des messages à des fenêtres d’un processus PA… ou des fenêtres de n’importe quel processus d’un niveau ou des fenêtres de n’importe quel processus d’un niveau d’intégrité supérieurd’intégrité supérieur

Le processus LUA peut lire des données appartenant Le processus LUA peut lire des données appartenant au processus PA (le but premier est de protéger au processus PA (le but premier est de protéger contre l’écriture / la modification)contre l’écriture / la modification)

Isolation de processus

Met en place une frontière de Met en place une frontière de séparation des privilèges entre séparation des privilèges entre utilisateur LUA et administrateur utilisateur LUA et administrateur protégé PA qui empêche l’élévation protégé PA qui empêche l’élévation de privilèges interprocessusde privilèges interprocessus

La vérification est faite à chaque fois La vérification est faite à chaque fois qu’un processus utilise un objetqu’un processus utilise un objet

Un processus peut démarrer un enfant Un processus peut démarrer un enfant avec un IL inférieuravec un IL inférieur

Privilège pour lancer dans un IL supérieur Privilège pour lancer dans un IL supérieur : SeRelabelPrivilege: SeRelabelPrivilege

Synthèse

User Account Control : changer les bases du User Account Control : changer les bases du système système

Corriger le système pour qu’il fonctionne Corriger le système pour qu’il fonctionne correctement lorsqu’on est utilisateur standard correctement lorsqu’on est utilisateur standard

Corriger / supprimer les vérifications administratives Corriger / supprimer les vérifications administratives inappropriées (ex : affichage de l’horloge)inappropriées (ex : affichage de l’horloge)Faire en sorte que même les administrateurs exécutent Faire en sorte que même les administrateurs exécutent leurs applications en tant qu’utilisateur avec moindre leurs applications en tant qu’utilisateur avec moindre privilègeprivilège

Fournir une méthode sécurisée pour exécuter Fournir une méthode sécurisée pour exécuter certaines applications dans un contexte de certaines applications dans un contexte de privilèges élevésprivilèges élevés

Indiquer clairement que les actions ont alors un impact sur Indiquer clairement que les actions ont alors un impact sur la machine tout entièrela machine tout entièreNécessite que les applications non-UAC soient marquéesNécessite que les applications non-UAC soient marquées

Virtualisation du registre et des fichiers pour Virtualisation du registre et des fichiers pour permettre la compatibilitépermettre la compatibilité

MIC / UIPI : isoler les processusMIC / UIPI : isoler les processus

Références

Blog UACBlog UAChttp://blogs.msdn.com/uac/http://blogs.msdn.com/uac/Utiliser le kit de compatibilité applicative ACTUtiliser le kit de compatibilité applicative ACThttp://www.microsoft.com/technet/windowsvihttp://www.microsoft.com/technet/windowsvista/deploy/appcompat/acshims.mspxsta/deploy/appcompat/acshims.mspx http://www.microsoft.com/technet/windowsvihttp://www.microsoft.com/technet/windowsvista/security/uacppr.mspxsta/security/uacppr.mspxhttp://www.microsoft.com/technet/windowsvihttp://www.microsoft.com/technet/windowsvista/library/0d75f774-8514-4c9e-ac08-4c21f5csta/library/0d75f774-8514-4c9e-ac08-4c21f5c6c2d9.mspx6c2d9.mspxUsing Application Compatibility Tools for Using Application Compatibility Tools for Marking Legacy Applications with Elevated Marking Legacy Applications with Elevated Run Levels on Microsoft Windows Vista Run Levels on Microsoft Windows Vista http://www.microsoft.com/technet/windowsvihttp://www.microsoft.com/technet/windowsvista/deploy/appcompat/acshims.mspxsta/deploy/appcompat/acshims.mspx

Protection contre les exploitations- Traitement unifié des URL- Améliorations de la qualité du code- Choix explicite des ActiveX à exécuter - Mode protégé

Protections contre l’ingénierie sociale- Filtre antiphishing & barre d’adresse colorée- Notification des paramètres dangereux- Paramètres par défaut sécurisés pour les noms de domaine

internationaux (IDN)

Active X

ScénarioScénario IE6IE6 IE6 XP IE6 XP SP2SP2

IE7 XP IE7 XP SP2SP2 IE7 VistaIE7 Vista

TéléchargemenTéléchargement d’ActiveX non t d’ActiveX non signéssignés

Bloqué Bloqué silen-silen-

cieusemencieusementt

Bloqué Bloqué silen-silen-

cieusementcieusement

Bloqué silen-Bloqué silen-cieusementcieusement

Bloqué silen-Bloqué silen-cieusementcieusement

TéléchargemenTéléchargement d’ActiveX t d’ActiveX signéssignés

DemandeDemande Bloqué Bloqué avec Barre avec Barre

d’infosd’infos

Bloqué avec Bloqué avec Barre d’infosBarre d’infos

Bloqué avec Bloqué avec Barre d’infosBarre d’infos

Contrôles Contrôles ActiveX pré-ActiveX pré-installésinstallés

Exécution Exécution silencieusesilencieuse

Exécution Exécution silencieuse, silencieuse, peut être peut être

gérégéré

Bloqué avec Bloqué avec Barre d’infosBarre d’infos

Bloqué avec Bloqué avec Barre d’infosBarre d’infos

Simplicité Simplicité d’ajout de d’ajout de nouveaux nouveaux contrôles contrôles ActiveXActiveX

UtilisateurUtilisateurs admins admin

Utilisateurs Utilisateurs adminadmin

Utilisateurs Utilisateurs adminadmin

Utilisateurs Utilisateurs restreintsrestreints

Défense en profondeur dans Internet Explorer

Barre d’adresse sur toutes les fenêtres pop-upBarre d’adresse sur toutes les fenêtres pop-up

Restrictions sur le comportement des prompts Restrictions sur le comportement des prompts s’exécutant dans des ongletss’exécutant dans des onglets

Paramètres de sécurité par zoneParamètres de sécurité par zone

Notification des Notification des paramètres non sursparamètres non surs

Atténuation des risques ActiveX par autorisation Atténuation des risques ActiveX par autorisation d’installation et d’exécution explicitesd’installation et d’exécution explicites

Paramètres de sécurité par zone (URLActions)

Filtre anti-phishingProtection dynamique avec IE 7 et Windows Live / Barre MSN

Fournit 3Fournit 3 « contrôles » pour protéger les utilisateurs du phishing : « contrôles » pour protéger les utilisateurs du phishing :

1.1. Compare le site Web avec une liste de site légitimes connus localementCompare le site Web avec une liste de site légitimes connus localement

2.2. Examine la page Web grâce à une heuristique afin de détecter les Examine la page Web grâce à une heuristique afin de détecter les caractéristiques communes des sites de phishingcaractéristiques communes des sites de phishing

3.3. Contrôle le site par rapport à un service Microsoft en ligne qui signale les sites Contrôle le site par rapport à un service Microsoft en ligne qui signale les sites connus pour leurs activités de phishing mis à jour connus pour leurs activités de phishing mis à jour plusieurs fois chaque heureplusieurs fois chaque heure

Niveau 1 : Alerte Site Web suspect

Signalé

Niveau 2 : Blocage Site de phishing confirmé

Signalé et bloqué

Deux niveaux d’alerte et de protection Deux niveaux d’alerte et de protection dans la barre de statut d’IE7dans la barre de statut d’IE7

En opt-in !

Une vue rapide des sources de données

Pipeline d’évaluation

Utilisateur

Front End

Barre d’outils WL

Site de retour clients

Fournisseur tiers de données

MarkMonitor Cyota Internet Identity

Base de données URS

IE7

Services Web URS

Back End

Retour de la communautéEscalades vers le responsable du site

Source de données interne

Microsoft

Examen humain

Retour clients et escalade

Mises à jour automatiques

Implémenté plus tard

Implementé

Les fournisseurs actuels de donnéesD’autres partenaires à venir…..

Mode protégé d’Internet Explorer

S’appuie sur UAC/MIC pour protéger les S’appuie sur UAC/MIC pour protéger les données et paramètres de l’utilisateurdonnées et paramètres de l’utilisateur

Fait tourner Internet Explorer en mode Fait tourner Internet Explorer en mode lecture seule dans la Zone Internet, à lecture seule dans la Zone Internet, à l’exception du répertoire Temporary Internet l’exception du répertoire Temporary Internet FilesFiles

Bloque la possibilité pour les logiciels Bloque la possibilité pour les logiciels malveillants de supprimer des données de malveillants de supprimer des données de l’utilisateur, de détourner des paramètres du l’utilisateur, de détourner des paramètres du navigateur, ou d’ajouter quoi que ce soit dans navigateur, ou d’ajouter quoi que ce soit dans le dossier de démarrage de l’utilisateur sans le dossier de démarrage de l’utilisateur sans son consentementson consentement

IE6IE6

IE6 s’exécutant avec les droits IE6 s’exécutant avec les droits d’administrationd’administration

Installation d’un pilote, exécution de Windows Update

Modification des paramètres, télé-chargement d’une image

Mise en cache du contenu Web

Exploitation peut installer MALWARE

Exploitation peut installer MALWARE

Accès droits adminAccès droits admin

Accès droits utilisateur

Accès droits utilisateur

Fichiers temporaires

Fichiers temporaires

HKLM

Program Files

HKCU

Mes Documents

Dossier de démarrage

Fichiers et paramètres de défiance

IExploreIExplore

Installation d’un contrôle ActiveX

Changement de paramètres,

Enregistrement d’une image

Co

ntr

ôle

d’i

nté

gri

té

IEU

ser

Paramètres et fichiers redirigés

Red

irec

teu

r co

mp

atib

ilit

é

Mise en cache du contenu Web

Accès droits adminAccès droits admin

Accès droits utilisateurAccès droits utilisateur

Fichiers temporairesFichiers temporaires

HKLM

HKCR

Program Files

HKCU

Documents

Dossier de démarrage

Fichiers et paramètres de défiance

IEA

dmin

IE7 en mode protégé (Vista)

Traitement unifié des URL

Problématique :Problématique :Les URL passées sous forme de chaînes Les URL passées sous forme de chaînes peuvent être traitées différemment et de peuvent être traitées différemment et de manière incohérente au travers de la pilemanière incohérente au travers de la pile

Les caractères spéciaux compliquent le Les caractères spéciaux compliquent le traitement des URLtraitement des URL

http://www.good.com@bad.comhttp://www.good.com@bad.com

Solution :Solution :iURI est le nouvel et unique de traitement des iURI est le nouvel et unique de traitement des URL d’IEURL d’IE

Met sous forme canonique les URL (RFC 3986)Met sous forme canonique les URL (RFC 3986)

IE passe l’objet pré-traité à la pile de traitementIE passe l’objet pré-traité à la pile de traitement

Problématique :Problématique :Les contrôles ActiveX peuvent exposer des Les contrôles ActiveX peuvent exposer des fonctions dangereuses et avoir des vulnérabilités fonctions dangereuses et avoir des vulnérabilités exploitables par n’importe quelle page Webexploitables par n’importe quelle page Web

Solution :Solution :Les contrôles ActiveX pré-installés demanderont Les contrôles ActiveX pré-installés demanderont l’autorisation de s’exécuter lors de leur première l’autorisation de s’exécuter lors de leur première utilisation, de même que les contrôles utilisation, de même que les contrôles téléchargéstéléchargés

Les utilisateurs peuvent lancer IE avec tous les Les utilisateurs peuvent lancer IE avec tous les Add-ons désactivés (y compris les BHO)Add-ons désactivés (y compris les BHO)

““This move is worth praise.”This move is worth praise.”Joe Wilcox, Jupiter Research, September 13, 2005Joe Wilcox, Jupiter Research, September 13, 2005

Choix explicite des ActiveX à exécuter

Problématique :Problématique :Les hackers utilisent les protocoles de script Les hackers utilisent les protocoles de script pour exécuter des scripts hors domainespour exécuter des scripts hors domaines

Solution :Solution :Migrer le protocole de script pour qu’il Migrer le protocole de script pour qu’il exécute le script dans la page d’origineexécute le script dans la page d’origine

Sécurité interdomaine

Autres fonctionnalités

Restauration des paramètres par défaut Restauration des paramètres par défaut d’IEd’IE

Restauration des paramètres de baseRestauration des paramètres de base

Effacement complet des tracesEffacement complet des traces

Gestion de la Gestion de la politique d’accèspolitique d’accès

Identité digne Identité digne de confiancede confiance

Protection de Protection de l’Informationl’Information

Fournir l’accès en Fournir l’accès en fonction de la fonction de la

politique de sécuritépolitique de sécurité

Protéger les données Protéger les données au long du cycle de au long du cycle de

vievie

Assurer que les Assurer que les utilisateurs sont bien utilisateurs sont bien ce qu’ils disent être ; ce qu’ils disent être ; gestion du cycle de gestion du cycle de

vie de l’identitévie de l’identité

Authentification forte (carte Authentification forte (carte à puce, etc.)à puce, etc.)Services de certificats Services de certificats (PKI)(PKI)

Role-based Access ControlRole-based Access ControlGroup Policy Management Group Policy Management ConsoleConsoleAmélioration de l’auditAmélioration de l’auditContrôle parentalContrôle parental

Rights Management ServicesRights Management ServicesServices de chiffrementServices de chiffrementProtocoles et canaux Protocoles et canaux sécuriséssécurisésServices de sauvegarde et de Services de sauvegarde et de récupérationrécupérationBitlockerBitlocker

Permet uniquement aux utilisateurs légitimes un accès sécurisé et Permet uniquement aux utilisateurs légitimes un accès sécurisé et basé sur une politique de sécurité aux machines, applications et basé sur une politique de sécurité aux machines, applications et

donnéesdonnées

Gestion de l’identité et de l’accès

Système d’exploitation sécuriséSystème d’exploitation sécurisé

Aperçu du contrôle d’accès dans Windows Vista

Bureau isoléBureau isoléDémarrage Démarrage

sécurisé sécurisé (BitLocker (BitLocker Drive Encryption)Drive Encryption)

Contrôle d’accèsContrôle d’accès

AuthentificationAuthentification AutorisationAutorisation

AuthZ AuthZ applisapplis

AzmanAzman

RBACRBAC

Ouverture Ouverture de sessionde session

ProtocoleProtocole

IdentitéIdentité

AuthentificatiAuthentification forteon forte

AuditAudit Gestion des lettres Gestion des lettres de créancede créance

Itinérance des Itinérance des lettres de créancelettres de créance

Gestion du cycle de Gestion du cycle de vievie

Certificate ServerCertificate Server

Cartes à puceCartes à puce

Critères Critères CommunsCommuns

JournalisatiJournalisationon

EvénementsEvénements

FIPSFIPS

Services de cryptographieServices de cryptographie

CAPICAPI CNGCNG

Policy exp.Policy exp.

Traitement X.509Traitement X.509

Accès sécuriséBureau isoléBureau isoléProtection des données avec le chiffrement de lecteur Protection des données avec le chiffrement de lecteur BitLocker™BitLocker™Nouvelle architecture d’ouverture de session WindowsNouvelle architecture d’ouverture de session WindowsNouvelle infrastructure pour la cryptographieNouvelle infrastructure pour la cryptographieSimplicité du déploiement de l’authentification forteSimplicité du déploiement de l’authentification forte

Améliorations pour les cartes à puce (clés EFS sur la carte; Améliorations pour les cartes à puce (clés EFS sur la carte; adhésion au domaine; outils de déploiement et de libre adhésion au domaine; outils de déploiement et de libre service)service)Améliorations de Certificate Services (PKI)Améliorations de Certificate Services (PKI)

Administration simplifiée de l’autorisationAdministration simplifiée de l’autorisationNetwork Access ProtectionNetwork Access ProtectionGestion de l’identité centrée sur l’utilisateur avec Gestion de l’identité centrée sur l’utilisateur avec InfoCardInfoCard

Contrôle d’accèsContrôle d’accès

Système d’exploitation sécuriséSystème d’exploitation sécurisé

Aperçu du contrôle d’accès dans Windows Vista

Bureau isoléBureau isoléDémarrage Démarrage

sécurisé sécurisé (BitLocker (BitLocker Drive Encryption)Drive Encryption)

AuthentificationAuthentification AutorisationAutorisation

AuthZ AuthZ applisapplis

AzmanAzman

RBACRBAC

Ouverture Ouverture de sessionde session

ProtocoleProtocole

IdentitéIdentité

AuthentificatiAuthentification forteon forte

AuditAudit Gestion des lettres Gestion des lettres de créancede créance

Itinérance des Itinérance des lettres de créancelettres de créance

Gestion du cycle de Gestion du cycle de vievie

Certificate ServerCertificate Server

Cartes à puceCartes à puce

Critères Critères CommunsCommuns

JournalisatiJournalisationon

EvénementsEvénements

FIPSFIPS

Services de cryptographieServices de cryptographie

CAPICAPI CNGCNG

Policy exp.Policy exp.

Traitement X.509Traitement X.509

Sessions ?

Windows Server 2003 :Windows Server 2003 :Session 0 = consoleSession 0 = console

Sessions 1..n = sessions Terminal ServicesSessions 1..n = sessions Terminal Services

Windows XP avec Windows XP avec Fast User SwitchingFast User Switching : :Session 0 = session du premier utilisateurSession 0 = session du premier utilisateur

Sessions 1..n = utilisateurs suivantsSessions 1..n = utilisateurs suivants

Isolation de la session 0 Comportement de Windows XP

Session 0Session 0

Service AService A

Service CService C

Service BService B

Application Application AA

Application Application BB

Application Application CC

Session 1Session 1

ApplicatioApplication Dn D

ApplicatioApplication En E

ApplicatioApplication Fn F

Session 2Session 2

ApplicatioApplication Gn G

ApplicatioApplication Hn H

ApplicatioApplication In I

Session 3Session 3

ApplicatioApplication Jn J

ApplicatioApplication Kn K

ApplicatioApplication Ln L

Isolation de la session 0Comportement de Windows Vista

Session 1Session 1

ApplicatioApplication An A

ApplicatioApplication Bn B

ApplicatioApplication Cn C

Session 2Session 2

ApplicatioApplication Dn D

ApplicatioApplication En E

ApplicatioApplication Fn F

Session 3Session 3

ApplicatioApplication Gn G

ApplicatioApplication Hn H

ApplicatioApplication In I

Session 0Session 0

Service AService A

Service BService B

Service CService C

Isolation de la session 0Introduction à la technologie

Séparation des Services des sessions Séparation des Services des sessions utilisateursutilisateurs

Le bureau est la frontière de sécurité Le bureau est la frontière de sécurité pour les interfaces utilisateurs Windowspour les interfaces utilisateurs Windows

Les services interactifs sont vulnérables à Les services interactifs sont vulnérables à la compromission via Windows Messagingla compromission via Windows Messaging

Actuellement les utilisateurs ne Actuellement les utilisateurs ne peuvent pas voir ni interagir avec peuvent pas voir ni interagir avec l’interface utilisateur d’un service l’interface utilisateur d’un service interactif de leur sessioninteractif de leur session

Isolation de la session 0Conseils d’implémentation

Les services ne devraient JAMAIS ouvrir une Les services ne devraient JAMAIS ouvrir une fenêtre sur le bureau interactiffenêtre sur le bureau interactif

Les services qui ont besoin d’une entrée Les services qui ont besoin d’une entrée utilisateur peuvent :utilisateur peuvent :

Utiliser Utiliser WTSSendMessage WTSSendMessage pour faire apparaître une pour faire apparaître une simple boîte de message sur le bureau de simple boîte de message sur le bureau de l’utilisateurl’utilisateur

Injecter un processus dans la session cible en Injecter un processus dans la session cible en utilisant l’API utilisant l’API CreateProcessAsUserCreateProcessAsUser

Nouveautés Wi-fi dans VistaObjectifs

SécuritéSécurité

GestionGestion

Réduction Réduction des coûtsdes coûts

Support des standards les Support des standards les plus sécurisésplus sécurisés

Protège des attaques les Protège des attaques les plus courantesplus courantes

Support des solutions de Support des solutions de sécurité non standardssécurité non standards

Stratégies de groupesStratégies de groupes

Ligne de commandeLigne de commande

Diagnostics : réduisent la Diagnostics : réduisent la charge du supportcharge du support

Fiabilité améliorée grâce à Fiabilité améliorée grâce à l’architecture native Wi-fil’architecture native Wi-fi

Nouveautés sécurité

Niveau de standards de sécurité le plus Niveau de standards de sécurité le plus élevé :élevé :

WPA2 (802.11i), WPA, 802.1xWPA2 (802.11i), WPA, 802.1xPEAP MSCHAPv2 (défaut dans Vista), PEAP-TLS, PEAP MSCHAPv2 (défaut dans Vista), PEAP-TLS, EAP-TLSEAP-TLS

Réseau ad-hoc sécuriséRéseau ad-hoc sécuriséWPA2-PSKWPA2-PSK

Expérience « Single Sign-On »Expérience « Single Sign-On »Extensibilité EAPHostExtensibilité EAPHost

Permet des méthodes EAP tiercesPermet des méthodes EAP tierces

Gestion par stratégies de groupe et ligne de Gestion par stratégies de groupe et ligne de commandecommandeSupport de Network Access Protection (NAP)Support de Network Access Protection (NAP)

Vulnérabilités prises en compte

Liste des réseaux préférés non diffuséeListe des réseaux préférés non diffusée

Utilisateurs novices protégésUtilisateurs novices protégésRéseaux non protégés clairement indiquésRéseaux non protégés clairement indiqués

L’assistant de création d’un réseau choisit L’assistant de création d’un réseau choisit par défaut le niveau de sécurité le plus par défaut le niveau de sécurité le plus élevé en fonction de la carteélevé en fonction de la carte

Des réseaux et types de réseaux Des réseaux et types de réseaux spécifiques peuvent être bloqués / spécifiques peuvent être bloqués / autorisésautorisés

Stratégies de groupe

Déploiement simplifiéDéploiement simplifiéSupport d’environnements de sécurité Wi-fi Support d’environnements de sécurité Wi-fi mixtesmixtesSéparation du 802.1x sur câble et sans filSéparation du 802.1x sur câble et sans fil

Gestion granulaireGestion granulaireListes autorisations / interdictionsListes autorisations / interdictionsWPA2, WPA, WEP, EAP-TLS, PEAP-MSCHAPv2, WPA2, WPA, WEP, EAP-TLS, PEAP-MSCHAPv2, etc.etc.Support des réseaux cachésSupport des réseaux cachésConnectivité manuelle / automatiqueConnectivité manuelle / automatique

Expérience utilisateur amélioréeExpérience utilisateur amélioréeExtensibilitéExtensibilité

Pour les paramètres spécifiques aux Pour les paramètres spécifiques aux fournisseurs de matérielfournisseurs de matériel

Ligne de commande

Wireless CommandsWireless Commands

add profileadd profileadd filteradd filtershow profilesshow profilesshow filtersshow filtersshow settingsshow settingsshow interfacesshow interfacesdelete profiledelete profiledelete filterdelete filterset preferenceorderset preferenceorderset autoconfigset autoconfigset blockednetworksset blockednetworksexport profileexport profiledumpdump

Wired CommandsWired Commands

add profileadd profile

show profilesshow profiles

show settingsshow settings

show interfacesshow interfaces

delete profiledelete profile

set autoconfig set autoconfig

export profileexport profile

Helper Class (L2Sec Helper Class) Event: Diagnosis initiated at: 10\17\2005 13:48:03Interface Attribute Information: Interface Name: Dell TrueMobile 1150 …Connection Attribute Information: Profile Name: WLANDIAG Ssid = WLANDIAG, Ssid length = 8 Mode: Infrastructure Reset Counter: 1,Connection ID: 1 Security is ENabled for this profileConnection was attempted at: 10\17\2005 13:47:41 Using Authentication Mode: Open Using Cipher: WEP Number of Security packets received: 0 Number of Security packets sent: 3 Status codes = 294927 : 0 : 0 Security is ENabled for this profile 802.1x protocol is enabled on this connection, EapType = 25 …. 802.11 Pre-association succeeded 802.11 Association succeededSecurity was initiated at: 10\17\2005 13:47:41 FAILed to receive, or set Unicast keys Security attempt FAILed, Last Error = 294927Diagnosis Result: ConfirmedRoot-cause: No 802.1x authenticator found for this networkRepair: Disable 802.1x protocol for this connection

Chiffrement de disque avec BitLocker

Conçu spécifiquement pour Conçu spécifiquement pour empêcher un voleur qui empêcher un voleur qui démarrerait un autre OS ou démarrerait un autre OS ou exécuterait un outil de hacking exécuterait un outil de hacking pour casser les protections pour casser les protections système et fichiers de Windowssystème et fichiers de WindowsFournit une protection des Fournit une protection des données sur les systèmes données sur les systèmes clients Windows, même quand clients Windows, même quand le système est entre des mains le système est entre des mains non autorisées ou exécute un non autorisées ou exécute un système d’exploitation différentsystème d’exploitation différentUtiliser un module TPM 1.2 pour Utiliser un module TPM 1.2 pour le stockage de cléle stockage de cléScénariosScénarios

Vol de PCVol de PCDéploiement serveur d’agenceDéploiement serveur d’agenceRecyclage de PCRecyclage de PC

BitLockerBitLocker

Chiffrement de disque avec BitLocker Les concepts

Chiffrement de la partition entière au niveau secteurChiffrement de la partition entière au niveau secteurProtection des fichiers système et fichiers temporaires, des fichiers Protection des fichiers système et fichiers temporaires, des fichiers d’hibernation et de swap, etc…d’hibernation et de swap, etc…

Authentification de l’OS par TPM permet l’accès à la clé de Authentification de l’OS par TPM permet l’accès à la clé de chiffrementchiffrement

TPM Version 1.2TPM Version 1.2www.trustedcomputinggroup.orgwww.trustedcomputinggroup.org

La clé de chiffrement est scellée pour le loader autoriséLa clé de chiffrement est scellée pour le loader autoriséSeul le « bon » OS peut déverrouiller l’accèsSeul le « bon » OS peut déverrouiller l’accèsDémarrage sécurisé (Démarrage sécurisé (Secure StartupSecure Startup))

Renforcement de la protection par deux facteursRenforcement de la protection par deux facteursTPM + code PINTPM + code PINTPM + clé USBTPM + clé USB

Mode sans TPMMode sans TPMClé USB seuleClé USB seule

Protection des données en mode déconnecté, mais perte de la notion de Protection des données en mode déconnecté, mais perte de la notion de Secure StartupSecure Startup

Chiffrement de disque avec BitLocker

Protection de la clé de chiffrement Protection de la clé de chiffrement par TPM (Trusted Platform Module) par TPM (Trusted Platform Module) seulementseulement

par TPM + code PINpar TPM + code PIN

par TPM + clé USBpar TPM + clé USB

par clé USB seulement (machines sans par clé USB seulement (machines sans TPM)TPM)

Architecture des services TPM

Amorçage sécurisé

Outils d’administra-

tion

Fournisseur de stockage

de clés

Services de base du TPM

Driver du TPM

TPM

TSS*

Application tierce

Facilité d’utilisation vs sécurité

Sécurité

Fac

ilité

d’u

tilis

a ti o

n

TPM Seul« Ce que c’est »Protège contre : Attaque logiciel

seulVulnérable à :

attaques matérielles (y compris des

attaques potentiellement

« faciles »)

TPM + PIN« Ce que vous

savez »Protège contre : De

nombreuses attaques hardwareVulnérable à : des

attaques pour casser le TPM

Dongle Seul« Ce que vous

avez » Protège contre :

Toutes les attaques hardware

Vulnerable à : Perte du dongleAttaque pre-OS

TPM + Dongle« Deux choses

que je possède »Protège contre : De nombreuses

attaques hardware

Vulnerable à : des attaques hardware

**************

Chiffrement de disque avec BitLocker Clé de chiffrement et organisation du disque

Chiffrement de disque avec BitLocker Clé de chiffrement et organisation du disque

BootBoot

PartitionsPartition de boot – clair (350MO)Partition OS - chiffrée

Partition de bootMBR (Master Boot Record), Loader, Boot Utilities, Clé VMK protégée

Clé de chiffrement

1. SRK (Storage Root Key) dans le TPM

2. VMK (Volume Master Key) chiffrée par la SRK

3. VMK (protégée par SRK) réside sur la Partition de Boot

VEK

2

3

WindowsWindows

SRK

1

Architecture SRTM des premiers composants de l’amorçage

Architecture SRTM des premiers composants de l’amorçage

Le « blob » du volume de l’OS cible est déverrouillé

Tous les « blobs » nécessaires pour l’amorçage sont

déverrouillés

Démarrage de l’OS

BootSector

BootManager

Démar-rage de

l’ OSOS Loader

BootBlock

Avant l’OS

BIOS

MBR

TPM Init

Chiffrement de disque avec BitLocker Usage du TPM

Le démarrage sécurisé (Le démarrage sécurisé (Secure Startup)Secure Startup) s’appuie sur le s’appuie sur le Static Root Static Root of Trust Measurement (SRTM)of Trust Measurement (SRTM) du TPM du TPMFonction Fonction ExtendExtend

L’authentification de l’OS est établie par la constitution d’empreintes du L’authentification de l’OS est établie par la constitution d’empreintes du code dans les PCR (Platform Configuration Register)code dans les PCR (Platform Configuration Register)A la mise sous tension, les PCR sont initialisés à zéroA la mise sous tension, les PCR sont initialisés à zéroLa fonction La fonction ExtendExtend permet d’enrichir un PCR du condensé ( permet d’enrichir un PCR du condensé (hashhash) de sa ) de sa valeur actuelle et des nouvelles données en entrée:valeur actuelle et des nouvelles données en entrée:

le code à authentifierle code à authentifierOn « mesure » ainsi le code avant son exécutionOn « mesure » ainsi le code avant son exécutionChaque PCR est affecté à la mesure d’un bout de code de démarrageChaque PCR est affecté à la mesure d’un bout de code de démarrage

BIOS PCRBIOS PCRBoot Sector PCR, etc…Boot Sector PCR, etc…

Fonctions Fonctions Seal/UnsealSeal/UnsealSeal permet de chiffrer une donnéeSeal permet de chiffrer une donnéeUnsealUnseal permet de déchiffrer une donnée si et seulement si le jeu des permet de déchiffrer une donnée si et seulement si le jeu des registres PCR auquel est associée l’opération sont positionnés à la registres PCR auquel est associée l’opération sont positionnés à la même valeur que lors du même valeur que lors du SealSeal

On ne peut desceller une clé qui si on a démarré le même OSOn ne peut desceller une clé qui si on a démarré le même OS

Mesure de l’OS à l’aide du TPM

Initialisation des registres et transfert Initialisation des registres et transfert de l’exécution au de l’exécution au Core Root of Trust Core Root of Trust MeasurementMeasurement

Mesure du firmware dans PCR[0] et des Mesure du firmware dans PCR[0] et des données dans PCR[1]données dans PCR[1]

Hardware test and configurationHardware test and configuration

Le code est d’abord mesuré, puis Le code est d’abord mesuré, puis exécutéexécuté

Le PCR s’enrichit du SHA-1 du texte Le PCR s’enrichit du SHA-1 du texte en entréeen entrée

Option ROMs et données dans PCR[2] Option ROMs et données dans PCR[2] et [3]et [3]

MBR dans PCR[4], table des partitions MBR dans PCR[4], table des partitions PCR[5]PCR[5]PCR[0]PCR[0]

PCR[1]PCR[1]PCR[2]PCR[2]PCR[3]PCR[3]PCR[4]PCR[4]PCR[5]PCR[5]PCR[6]PCR[6]PCR[7]PCR[7]PCR[8]PCR[8]PCR[9]PCR[9]

PCR[10]PCR[10]PCR[11]PCR[11]PCR[12]PCR[12]PCR[13]PCR[13]PCR[14]PCR[14]PCR[15]PCR[15]

Pla

tform

Configura

tion R

egis

ters

Pla

tform

Configura

tion R

egis

ters

Mesure de l’OS à l’aide du TPM

MBR prend le contrôle; charge le MBR prend le contrôle; charge le premier secteur de la partition de premier secteur de la partition de boot active en mémoire; mesure boot active en mémoire; mesure les premiers 512 octets dans les premiers 512 octets dans PCR[8]PCR[8]Le secteur de Boot est mesuré Le secteur de Boot est mesuré dans PCR[9] puis exécutédans PCR[9] puis exécutéLe code de BOOTMGR est mesuré Le code de BOOTMGR est mesuré dans PCR[10] puis exécutédans PCR[10] puis exécutéApplications de démarrage Applications de démarrage additionnelles doivent être additionnelles doivent être chargées à partir de la partition chargées à partir de la partition BitlockerBitlockerFinalement, BOOTMGR transfert le Finalement, BOOTMGR transfert le contrôle vers l’OS; l’OS vérifie contrôle vers l’OS; l’OS vérifie alors l’intégrité des exécutables alors l’intégrité des exécutables avant le transfert d’exécutionavant le transfert d’exécutionPCR[0]PCR[0]

PCR[1]PCR[1]PCR[2]PCR[2]PCR[3]PCR[3]PCR[4]PCR[4]PCR[5]PCR[5]PCR[6]PCR[6]PCR[7]PCR[7]PCR[8]PCR[8]PCR[9]PCR[9]

PCR[10]PCR[10]PCR[11]PCR[11]PCR[12]PCR[12]PCR[13]PCR[13]PCR[14]PCR[14]PCR[15]PCR[15]

Pla

tform

Configura

tion R

egis

ters

Pla

tform

Configura

tion R

egis

ters

Chiffrement de disque avec BitLocker Group Policy et récupération

Machine hors domaineMachine hors domaineRécupération se fait par mot de passe sur fichier/imprimante, ou Récupération se fait par mot de passe sur fichier/imprimante, ou par clé USB – L’utilisateur contrôle sa stratégie de récupérationpar clé USB – L’utilisateur contrôle sa stratégie de récupération

Machine dans un domaine Active DirectoryMachine dans un domaine Active DirectoryGroup Policy permet de contrôlerGroup Policy permet de contrôler

Activation de BitLocker Drive EncryptionActivation de BitLocker Drive EncryptionSauvegarde du mot de passe de récupération dans ADSauvegarde du mot de passe de récupération dans AD

La VMK est protégéeLa VMK est protégéePar le mécanisme principalPar le mécanisme principal

TPM (y compris TPM+PIN) ou TPM+Clé USBTPM (y compris TPM+PIN) ou TPM+Clé USBPar les mécanismes de récupérationPar les mécanismes de récupération

Mot de passeMot de passeClé USBClé USB

Les « blobs » sont stockés en tant que métadonnées sur la Les « blobs » sont stockés en tant que métadonnées sur la partition système (la partition non chiffrée)partition système (la partition non chiffrée)

Récupération du Secure Startup

Accès réseau via AD

Fonctionnalité mise en service

Séquestre de la clé (par exemple

via AD)

L’utilisateur casse son PC

portable

Le disque dur de l’ancien PC

va dans le nouveau

Secure Startup Recovery Key

Please enter your Secure Startup Recovery Key.

CancelOk

x

Alert: Secure Startup Recovery

Secure Startup Recovery has failed.

You will not be able to start up your computer nor access your data. Your hard drive will remain encrypted until you can provide either the recovery media or your recovery key.

Close

x

**** **** **** ****

Secure Startup Recovery Mode

You have successfully recovered your data.

The recovery process is complete.

Close

x

L’utiliateur appelle son administrateur à l’aide

L’administrateur récupère la clé de récupération de l’utilisateur et lui donne

après avoir vérifié son identité

BitLockerChiffrement de la partition

Chiffrement secteur par secteurChiffrement secteur par secteurTailles 512, 1024, 2048, 4096, ou 8192 Tailles 512, 1024, 2048, 4096, ou 8192 octets octets

Avec une clé FVEK (Full Volume Avec une clé FVEK (Full Volume Encryption Key)Encryption Key)

256 bits256 bits

Protégée par la VMKProtégée par la VMK

MéthodeMéthodeAES 256 en mode CBC avec une diffusion AES 256 en mode CBC avec une diffusion supplémentairesupplémentaire

Améliorations d’EFSSécurité étendue et scénarios de déploiementSupport des clés privées stockées dans les Support des clés privées stockées dans les

cartes à pucecartes à puceSupport du “re-keying” et de la migrationSupport du “re-keying” et de la migration

SSO avec l’ouverture de session interactiveSSO avec l’ouverture de session interactive

Chiffrement côté client sur SMB (CIFS)Chiffrement côté client sur SMB (CIFS)

Nouvelles stratégies de groupe pour la Nouvelles stratégies de groupe pour la gestion en entreprisegestion en entreprise

Notification de sauvegarde de clé et de Notification de sauvegarde de clé et de certificatcertificat

Assistant de diagnostic pour le dépannageAssistant de diagnostic pour le dépannage

Améliorations de la sécurité, performance Améliorations de la sécurité, performance et de la capacité de gestionet de la capacité de gestion

Chiffrement du système Chiffrement du système de fichiers par utilisateurde fichiers par utilisateur

Chiffrement de disque Chiffrement de disque basé sur le matérielbasé sur le matériel

RMS, EFS et BitLockerProtection des données dans Windows Vista

Rights ManagementRights ManagementServicesServices

Encrypted FileEncrypted FileSystemSystem

BitLockerBitLocker

Définition et respect Définition et respect d’une politiqued’une politique

Quelle fonctionnalité utiliser ? De qui cherchez-vous à vous protéger ?De qui cherchez-vous à vous protéger ?

D’autres utilisateurs ou administrateurs de la machine ?D’autres utilisateurs ou administrateurs de la machine ? EFSEFS

D’utilisateurs non autorisés avec un accès physique à la machine?D’utilisateurs non autorisés avec un accès physique à la machine? BitLockerBitLocker

ScénariosScénarios BitLockerBitLocker EFSEFS RMSRMS

PortablesPortables XX

Serveur d’une succursaleServeur d’une succursale XX

Protection locale de fichiers et dossiers Protection locale de fichiers et dossiers pour un seul utilisateurpour un seul utilisateur

XX

Protection locale de fichiers et dossiers Protection locale de fichiers et dossiers pour un plusieurs utilisateurspour un plusieurs utilisateurs

XX

Protection distante de fichiers et Protection distante de fichiers et dossiersdossiers

XX

Administrateur réseau de défianceAdministrateur réseau de défiance XX

Respect à distance de la politique pour Respect à distance de la politique pour un documentun document

XX

Certains cas peuvent se chevaucher (par ex. plusieurs utilisateurs itinérants avec des administrateurs réseau de défiance)

Comparaison des technologies

BitLockerBitLocker EFSEFS RMSRMS

Chiffrement Chiffrement AES 128AES 128 AES 128AES 128 AES 128AES 128

DonnéesDonnées BlocsBlocs FichiersFichiers Défini par l’application; Défini par l’application; document ou emaildocument ou email

Stockage de clésStockage de clés Identité TPM + logiciel, Identité TPM + logiciel, Dongle, FichierDongle, Fichier

Logiciel, carte à puceLogiciel, carte à puce Logiciel obscurciLogiciel obscurci

Protège quoi ?Protège quoi ? Windows et donnéesWindows et données Répertoires et fichiersRépertoires et fichiers Confidentialité et usage des Confidentialité et usage des documentsdocuments

Protège qui ?Protège qui ? Le propriétaire et Le propriétaire et l’utilisateur de la machinel’utilisateur de la machine

Les utilisateursLes utilisateurs Les propriétaires de Les propriétaires de documentsdocuments

Gestion de clésGestion de clés TPM, DongleTPM, Dongle Logiciel, carte à puceLogiciel, carte à puce RMSRMS

ProtectionProtection Locale, distanteLocale, distante Locale, distanteLocale, distante DistanteDistante

Scénario typeScénario type Portable perdu ou voléPortable perdu ou volé PC multiutilisateurPC multiutilisateur Partage de document protégéPartage de document protégé

Scenario type pour Scenario type pour l’administrateurl’administrateur

Bit ChippingBit Chipping Contrôle riche de l’usage Contrôle riche de l’usage d’EFS sur les PC de d’EFS sur les PC de l’entreprise, via GPOl’entreprise, via GPO

Établir une politique Établir une politique d’entreprise de gestion de d’entreprise de gestion de l’informationl’information

L’admin peut tout ?L’admin peut tout ? OuiOui Non*Non* NonNon

Supporte d’autres Supporte d’autres mécanismes de mécanismes de sécuritésécurité

OuiOui Oui*Oui* NonNon

Mécanisme de Mécanisme de récupération de récupération de donnéesdonnées

Dongle, Fichier, AD, entrée Dongle, Fichier, AD, entrée manuelle de la clémanuelle de la clé

Politique locale ou ADPolitique locale ou AD Politique du serveur RMSPolitique du serveur RMS

Contrôle d’accèsContrôle d’accès

Système d’exploitation sécuriséSystème d’exploitation sécurisé

Aperçu du contrôle d’accès dans Windows Vista

Bureau isoléBureau isoléDémarrage Démarrage

sécurisé sécurisé (BitLocker (BitLocker Drive Encryption)Drive Encryption)

AuthentificationAuthentification AutorisationAutorisation

AuthZ AuthZ applisapplis

AzmanAzman

RBACRBAC

Ouverture Ouverture de sessionde session

ProtocoleProtocole

IdentitéIdentité

AuthentificatiAuthentification forteon forte

AuditAudit Gestion des lettres Gestion des lettres de créancede créance

Itinérance des Itinérance des lettres de créancelettres de créance

Gestion du cycle de Gestion du cycle de vievie

Certificate ServerCertificate Server

Cartes à puceCartes à puce

Critères Critères CommunsCommuns

JournalisatiJournalisationon

EvénementsEvénements

FIPSFIPS

Services de cryptographieServices de cryptographie

CAPICAPI CNGCNG

Policy exp.Policy exp.

Traitement X.509Traitement X.509

Support de la nouvelle cryptographie CNG – L’interface OCI (Open Cryptographic Interface) pour WindowsNouvelle infrastructure crypto remplaçant l’API CAPI Nouvelle infrastructure crypto remplaçant l’API CAPI

1.01.0Possibilité d’insérer en mode noyau ou en mode Possibilité d’insérer en mode noyau ou en mode utilisateur :utilisateur :

Algorithmes cryptographiques propriétairesAlgorithmes cryptographiques propriétairesRemplacements des algorithmes cryptographiques Remplacements des algorithmes cryptographiques standardsstandardsKey Storage Providers (KSP)Key Storage Providers (KSP)

Permet la configuration de la cryptographie aux Permet la configuration de la cryptographie aux niveaux de l’entreprise et de la machineniveaux de l’entreprise et de la machineConforme aux exigences des Critères Communs et Conforme aux exigences des Critères Communs et de FIPS pour l’isolation forte et l’auditde FIPS pour l’isolation forte et l’audit

Support un surensemble des algorithmes compris Support un surensemble des algorithmes compris dans CAPI, y compris la crypto à courbe elliptique dans CAPI, y compris la crypto à courbe elliptique (ECDH, ECDSA) et la conformité “Suite-B”(ECDH, ECDSA) et la conformité “Suite-B”Hashes: SHA-2 (256, 384, 512)Hashes: SHA-2 (256, 384, 512)

Le sous-système pour cartes à puce supportera les Le sous-système pour cartes à puce supportera les cartes dual mode (RSA et ECC)cartes dual mode (RSA et ECC)

Contrôle d’accèsContrôle d’accès

Système d’exploitation sécuriséSystème d’exploitation sécurisé

Aperçu du contrôle d’accès dans Windows Vista

Bureau isoléBureau isoléDémarrage Démarrage

sécurisé sécurisé (BitLocker (BitLocker Drive Encryption)Drive Encryption)

AuthentificationAuthentification AutorisationAutorisation

AuthZ AuthZ applisapplis

AzmanAzman

RBACRBAC

Ouverture Ouverture de sessionde session

ProtocoleProtocole

IdentitéIdentité

AuthentificatiAuthentification forteon forte

AuditAudit Gestion des lettres Gestion des lettres de créancede créance

Itinérance des Itinérance des lettres de créancelettres de créance

Gestion du cycle de Gestion du cycle de vievie

Certificate ServerCertificate Server

Cartes à puceCartes à puce

Critères Critères CommunsCommuns

JournalisatiJournalisationon

EvénementsEvénements

FIPSFIPS

Services de cryptographieServices de cryptographie

CAPICAPI CNGCNG

Policy exp.Policy exp.

Traitement X.509Traitement X.509

Architecture WinLogonWindows XP

Session 0Session 0

WinLogonWinLogonGP GP

utilisateutilisateurur

LSALSA

ShellShell

GP GP machinemachine

ProfilsProfils

MSGINAMSGINA

SCMSCM

Autres SessionsAutres Sessions

WinLogonWinLogonGP GP

utilisateutilisateurur

ShellShellMSGINAMSGINA

Architecture WinLogonWindows Vista

Session 0Session 0

WinInitWinInit

RCMRCMLSALSA

Group Group PolicyPolicy

ProfilsProfilsSCMSCM

Autres SessionsAutres Sessions

WinLogonWinLogon

LogonUILogonUICredentiCredenti

al al Provider Provider

11

CredentiCredential al

Provider Provider 22

CredentiCredential al

Provider Provider 33

Credential Providers

Les Credential Providers remplacent GINALes Credential Providers remplacent GINALes Credential Providers s’intègrent à Logon UILes Credential Providers s’intègrent à Logon UI

Logon UI peut interagir simultanément avec Logon UI peut interagir simultanément avec plusieurs credential providersplusieurs credential providersLes Credential Providers peuvent être sélectionnés Les Credential Providers peuvent être sélectionnés par l’utilisateur ou invoqués sur événementpar l’utilisateur ou invoqués sur événement

Par défaut :Par défaut :Mot de passeMot de passeCarte à puceCarte à puce

Credential ProvidersExemple : mot de passe

LSALSAWinLogoWinLogonn

LogonUILogonUI

Credential Credential Provider Provider

InterfacesInterfaces

CredentiCredential al

Provider Provider 22

7. Obtention de 7. Obtention de la lettre de la lettre de

créance pour créance pour l’ouverture de l’ouverture de

sessionsession

1. Ctrl+Alt+Delete1. Ctrl+Alt+Delete

2. Demande 2. Demande lettre de lettre de créancecréance

9. LSALogonUser9. LSALogonUser

5. Clique et entre son 5. Clique et entre son nom d’utilisateur et son nom d’utilisateur et son

mot de passe, puis validemot de passe, puis valide

3. Obtention des 3. Obtention des informations de lettre de informations de lettre de

créancecréance

4. Affiche 4. Affiche interface interface graphiquegraphique

CredentiCredential al

Provider Provider 11

CredentiCredential al

Provider Provider 33

8. Retourne 8. Retourne lettre de lettre de créancecréance

6. Validation 6. Validation reçuereçue

Cartes à puceAvant

Card Reader #1 Card Reader #2

Applications Applications Crypto (IE, Crypto (IE, Outlook)Outlook)

CAPICAPI

Smart Card Smart Card CSP #1CSP #1

Smart Card Smart Card CSP #2CSP #2

Smart Card Smart Card CSP #nCSP #n

Smart Card Resource ManagerSmart Card Resource Manager

Card Reader #3

Applications non Applications non cryptocrypto

SCard APISCard API

Carte à puceDésormais

ApplicationsApplications Crypto Crypto (IE, Outlook)(IE, Outlook)

CAPICAPI

ECC Card ECC Card ModuleModule

RSA/ECC RSA/ECC Card Card

ModuleModule

Smart Card Resource ManagerSmart Card Resource Manager

ApplicationsApplications Non CryptoNon Crypto

SCard APISCard API

Base CSPBase CSP

CNGCNG

Smart Card KSPSmart Card KSP

Card Reader #1 Card Reader #2 Card Reader #3

RSA Card RSA Card ModuleModule

Smart Smart Card Card CSPCSP

Carte à puce

Windows Vista permet l’utilisation des Windows Vista permet l’utilisation des cartes à puce comme moyen unique cartes à puce comme moyen unique d’authentification (élimination des mots d’authentification (élimination des mots de passe si vous le souhaitez)de passe si vous le souhaitez)

Améliorations PKI

Permettre la mise en œuvre de scénarios Permettre la mise en œuvre de scénarios d’applications de PKI de bout en boutd’applications de PKI de bout en bout

Wi-Fi sécurisé, VPN, IPsec, EFS, ouverture de session Wi-Fi sécurisé, VPN, IPsec, EFS, ouverture de session par carte à puce, SSL/TLS, S/MIME et signatures par carte à puce, SSL/TLS, S/MIME et signatures numériquesnumériques

Étendre la gestion du cycle de vie des lettres de Étendre la gestion du cycle de vie des lettres de créancecréanceMontée en charge des services de révocation Montée en charge des services de révocation pour toutes les applicationspour toutes les applications

Client OCSP pour les services de révocation haut Client OCSP pour les services de révocation haut volume / grande vitessevolume / grande vitesse

Support de la cryptographie à courbes elliptiques Support de la cryptographie à courbes elliptiques (ECDH, ECDSA) et conformité “Suite-B”, hashes (ECDH, ECDSA) et conformité “Suite-B”, hashes SHA-2 (256, 384, 512)SHA-2 (256, 384, 512)

Accès sécuriséAccès sécurisé

ProtectionProtectionfondamentalefondamentale

Excellence Excellence de l’ingénieriede l’ingénierie Construit en tenant compte de la Construit en tenant compte de la

sécuritésécurité

Permet un accès plus simple et plus Permet un accès plus simple et plus sécurisé aux informations et sécurisé aux informations et servicesservices

Protection contre les menaces de Protection contre les menaces de sécurité et réduction des risques sécurité et réduction des risques d’interruption de l’activitéd’interruption de l’activité

ContrôleContrôleintégréintégré

Fournit des outils intégrés de Fournit des outils intégrés de gestion et de supervision centraliséegestion et de supervision centralisée

Windows Vista

Exécution plus sécuriséeExécution plus sécuriséeUser Account ProtectionUser Account ProtectionMode protégé d’IE & Anti-Mode protégé d’IE & Anti-

PhishingPhishingDurcissement des servicesDurcissement des servicesCredential Manager/ProviderCredential Manager/Provider

Exécution plus sécuriséeExécution plus sécuriséeUser Account ProtectionUser Account ProtectionMode protégé d’IE & Anti-Mode protégé d’IE & Anti-

PhishingPhishingDurcissement des servicesDurcissement des servicesCredential Manager/ProviderCredential Manager/Provider

Communication plus Communication plus sécuriséesécurisée

Network Access Network Access ProtectionProtection

Intégration pare-feu Intégration pare-feu /IPsec/IPsec

Nouvelle CryptographieNouvelle Cryptographie

Communication plus Communication plus sécuriséesécurisée

Network Access Network Access ProtectionProtection

Intégration pare-feu Intégration pare-feu /IPsec/IPsec

Nouvelle CryptographieNouvelle CryptographieDemeurer plus sécuriséDemeurer plus sécurisé

Anti-logiciels malveillantsAnti-logiciels malveillantsRestart ManagerRestart ManagerContrôle de l’installation des Contrôle de l’installation des

périphériquespériphériquesInfrastructure étendue pour Infrastructure étendue pour

cartes à pucecartes à puce

Demeurer plus sécuriséDemeurer plus sécuriséAnti-logiciels malveillantsAnti-logiciels malveillantsRestart ManagerRestart ManagerContrôle de l’installation des Contrôle de l’installation des

périphériquespériphériquesInfrastructure étendue pour Infrastructure étendue pour

cartes à pucecartes à puce

Démarrage plus sécuriséDémarrage plus sécuriséBitLocker Drive EncryptionBitLocker Drive EncryptionCode IntegrityCode Integrity

Démarrage plus sécuriséDémarrage plus sécuriséBitLocker Drive EncryptionBitLocker Drive EncryptionCode IntegrityCode Integrity

Synthèse sécurité Windows Vista

Accès sécuriséAccès sécurisé

ProtectionProtectionfondamentalefondamentale

Excellence Excellence de l’ingénierie de l’ingénierie

ContrôleContrôleintégréintégré

© 2006 Microsoft Corporation. All rights reserved.© 2006 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.This presentation is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.

L’informatique de confiance

Rendre l’informatique Rendre l’informatique aussi simple et fiable aussi simple et fiable que l’eau ou l’électricitéque l’eau ou l’électricité

Une priorité absolueUne priorité absoluepour Microsoftpour MicrosoftNécessite l’adhésion Nécessite l’adhésion et l’implication de toute et l’implication de toute l’industrie informatiquel’industrie informatique

Changement culturel :Changement culturel :privilégier la sécurité par privilégier la sécurité par rapport aux fonctionnalitésrapport aux fonctionnalités

Interactions Interactions ouvertes et ouvertes et transparentes transparentes avec nos clients avec nos clients

Leadership au Leadership au sein de sein de l’industriel’industrie

Adhésion aux Adhésion aux standards standards ouvertsouverts

Prévisible, Prévisible, cohérent et cohérent et disponibledisponible

Facile à configurer Facile à configurer et à gérer et à gérer

RésilientRésilient

RécupérableRécupérable

ProuvéProuvé

Protéger contre Protéger contre les attaquesles attaques

Protéger la Protéger la confidentialité, confidentialité, l’intégrité des l’intégrité des données et des données et des systèmessystèmes

GérableGérable

Protéger de la Protéger de la divulgation non divulgation non désirée désirée d’informationsd’informations

Control du Control du caractère privé de caractère privé de l’informationl’information

Les produis, les Les produis, les services adhèrent à services adhèrent à des principes de des principes de loyauté en matière loyauté en matière d’informationd’information

La vision de Microsoft de la sécurité …

Etablir la en Etablir la en l’informatique l’informatique

afin de permettreafin de permettrela réalisation du plein potentiel la réalisation du plein potentiel

d’un monde interconnectéd’un monde interconnecté

CONFIANCECONFIANCE

Une plateforme sécurisée renforcée par des produits de Une plateforme sécurisée renforcée par des produits de sécurité, des services et des conseils permettant d’aider sécurité, des services et des conseils permettant d’aider

nos clients à rester hors de dangernos clients à rester hors de danger

Excellence Excellence dans les dans les fondamentauxfondamentaux

Innovations en Innovations en sécuritésécurité

Contenu et outils Contenu et outils basés selon des basés selon des scénariosscénarios

Réponse aux Réponse aux incidentsincidents

Prise de Prise de conscience et conscience et éducationéducation

Collaboration et Collaboration et partenariatpartenariat

Les axes de focalisation

StratégieStratégie

InvestissementsInvestissementstechnologiquestechnologiques

Conseils Conseils prescriptifsprescriptifs PartenariatsPartenariats

Contrôle d’accès Contrôle d’accès et d’identitéet d’identité

Atténuation des menaces Atténuation des menaces et des vulnérabilitéset des vulnérabilités

FondamentauxFondamentaux

Investissements technologiques

GPOsélection de nouveautés intéressantes

Désactiver la stratégie de groupe localeDésactiver la stratégie de groupe localeActions en cas d’horaire d’utilisation dépasséActions en cas d’horaire d’utilisation dépasséGestion des versions précédentes (shadow copies)Gestion des versions précédentes (shadow copies)Carte à puceCarte à puceStratégie de sauvegardeStratégie de sauvegardeChiffrement de disqueChiffrement de disqueWindows Defender (vérifier si nouvelles signatures avant analyse)Windows Defender (vérifier si nouvelles signatures avant analyse)DIMS + PKIDIMS + PKIIEIE

IE MaintenanceIE MaintenanceInterdire tous les logiciels complémentaires sauf s’ils sont dans la liste de ceux autorisésInterdire tous les logiciels complémentaires sauf s’ils sont dans la liste de ceux autorisésAjout de fournisseur de recherche (liste spécifique)Ajout de fournisseur de recherche (liste spécifique)Désactivation de la vérification des paramètres de sécuritéDésactivation de la vérification des paramètres de sécuritéDésactivation de la correction des paramètres de sécuritéDésactivation de la correction des paramètres de sécuritéActivation de la journalisation de compatibilitéActivation de la journalisation de compatibilitéInterdiction de ne pas tenir compte des erreurs de certificatsInterdiction de ne pas tenir compte des erreurs de certificatsZone intranetZone intranet

Niveau de sécurité RDP (TLS ou pas)Niveau de sécurité RDP (TLS ou pas)Restrictions sur l’installation de périphériquesRestrictions sur l’installation de périphériquesServices TPM (dont sauvegarde dans AD)Services TPM (dont sauvegarde dans AD)Prévenir quand le serveur d’authentification n’était pas disponible lors de l’ouverture de Prévenir quand le serveur d’authentification n’était pas disponible lors de l’ouverture de sessionsessionAfficher le dernier logonAfficher le dernier logonBITS (peer caching)BITS (peer caching)Journal des événementsJournal des événements

Centre de sécurité

Règle de pare-feu Windows Vista

DoDo Action = { Action = {By-pass | Allow | BlockBy-pass | Allow | Block} } ifif: : Protocol = Protocol = XX ANDAND,,Direction = {Direction = {In | OutIn | Out} } ANDAND,,Local TCP/UDP Port is in {Local TCP/UDP Port is in {Port ListPort List} } ANDANDRemote TCP/UDP Port is in {Remote TCP/UDP Port is in {Port ListPort List} } ANDAND

ICMP Type Code is in {ICMP Type-Code List}ICMP Type Code is in {ICMP Type-Code List} AND ANDInterface NIC is in {Interface NIC is in {Interface ID listInterface ID list} } ANDAND,,Interface type is in {Interface type is in {Interface types listInterface types list} } ANDAND,,Local Address is found in {Local Address is found in {Address listAddress list} } ANDAND,,Remote Address is found in {Remote Address is found in {Address listAddress list} } ANDAND,,Application = <Application = <PathPath> > ANDAND,,Service SID = <Service SID = <Service Short NameService Short Name> > ANDAND,,Require Authentication = {Require Authentication = {TRUE | FALSETRUE | FALSE} } ANDAND,,Require Encryption = {Require Encryption = {TRUE | FALSETRUE | FALSE} } ANDAND,,Remote User has access in {Remote User has access in {SDDLSDDL} } ANDAND,,Remote Computer has access in {Remote Computer has access in {SDDLSDDL} } ANDAND,,OS Version is in {OS Version is in {Platform ListPlatform List}}

Liens

Pare-feu Windows VistaPare-feu Windows Vista http://www.microsoft.com/technet/comhttp://www.microsoft.com/technet/community/columns/cableguy/cg0106.mspxmunity/columns/cableguy/cg0106.mspx

UACUAChttp://www.microsoft.com/technet/windhttp://www.microsoft.com/technet/windowsvista/security/uacppr.mspxowsvista/security/uacppr.mspx