La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Contrôle de comptes utilisateurs (User Account Control - UAC) Support natif des cartes à puce Audit granulaire Securité et conformité BitLocker Drive.

Présentations similaires


Présentation au sujet: "Contrôle de comptes utilisateurs (User Account Control - UAC) Support natif des cartes à puce Audit granulaire Securité et conformité BitLocker Drive."— Transcription de la présentation:

1

2

3 Contrôle de comptes utilisateurs (User Account Control - UAC) Support natif des cartes à puce Audit granulaire Securité et conformité BitLocker Drive Encryption EFS avec cartes à puce Client RMS Security Development Lifecycle (dont modélisation des menaces et revues de code) Renforcement des services Windows Sécurité du noyau Mises à jour Maîtrise des périphériques Mode protégé dInternet Explorer Windows Defender Network Access Protection (NAP) Pare-feu Restauration Fondamentaux Identité & contrôle daccès Atténuation des menaces et des vulnérabilités Protection des données

4

5 Intégrité du code pour protéger les fichiers de lOS Signature des pilotes de périphériques (obligatoire en 64 bits) Protection du noyau (mode 64 bits seulement) Amélioration du Centre de sécurité Facilité dobtention dun statut sur la sécurité (agent danalyse de la sécurité unique : Windows Update Agent)

6

7 Établissement dun profil pour les services Windows indiquant les actions autorisées pour le réseau, le système de fichiers et le registre Conçu pour bloquer les tentatives de détournement dun service Windows pour écrire à un endroit qui ne fait pas partie du profil du service Réduit le risque de propagation dun logiciel malveillant Durcissement de services Système de fichiers Registre Réseau

8 Ajouter la prise en charge de périphériques et autoriser ou interdire leur installation Les pilotes approuvés par le service informatique peuvent être ajoutés dans le Trusted Driver Store (staging) Les Driver Store Policies (stratégies de groupe) déterminent le comportement pour les packages de pilote qui ne sont pas dans le Driver Store. Par exemple : Pilotes qui ne sont pas aux standards de lentreprise Pilotes non signés

9

10 Protections contre lingénierie sociale Filtre antiphishing & barre dadresse colorée Notification des paramètres dangereux Paramètres par défaut sécurisés pour les noms de domaine internationaux (IDN) Protection contre les exploitations Traitement unifié des URL Améliorations de la qualité du code Choix explicite des ActiveX à exécuter Mode protégé

11 IExplore Installation dun contrôle ActiveX Changement de paramètres, Enregistrement dune image Contrôle dintégrité IEUser Paramètres et fichiers redirigés Redirecteur compatibilité Mise en cache du contenu Web Accès droits admin Accès droits utilisateur Fichiers temporaires HKLM HKCR Program Files HKCU Documents Dossier de démarrage Fichiers et paramètres de défiance IEAdmin

12 Windows Defender Fonctions intégrées de détection, nettoyage, et blocage en temps réel des spywares (dont intégration avec Internet Explorer pour fournir une analyse antispyware avant téléchargement) 9 agents de surveillance Système de scan rapide intelligent Ciblé pour les consommateurs (pas de fonctions de gestion en entreprise) La gestion en entreprise est possible avec le produit payant séparé Microsoft Client Protection MSRT (Microsoft Malicious Software Removal Tool) intégré permet de supprimer virus, bots, et chevaux de Troie pendant une mise à jour et sur une base mensuelle

13

14 Tampon Autres vars EBP EIP Arguments void bar(char *p, int i) { int j = 0; CBidule bidule; int (*fp)(int) = &bar; char b[128]; strcpy(b,p); } Adresse de retour de fonction Gestionnaire dexception Pointeurs de fonction Méthodes virtuelles Déterminent le flux dexécution P1raté! Si p pointe vers des données plus longues que b…

15 Prévention de lexécution des données (DEP) Address Space Layout Randomization (ASLR) Compilation avec Visual Studio 2005 (cf MS07-004) et /GS …

16 Gestion combinée dIPsec et du pare-feu Nouvelle MMC (Windows Firewall with Advanced Security) Nouvelles commandes en ligne (netsh advfirewall) Politique de protection simplifiée Réduit de manière spectaculaire le nombre dexemptions IPsec nécessaires dans un déploiement de grande ampleur Gestion à distance

17 Défiance Ordinateur non géré ou intrus Isolation de domaine Contrôleur de domaine Active Directory X Isolation de serveur Serveurs avec des données sensibles Poste de travail RH Ordinateur géré X Serveur de ressources de confiance Réseau dentreprise Définition des frontières de lisolation logiqueDistribution des politiques et lettres de créance Les ordinateurs gérés peuvent communiquer Blocage des connexions entrantes depuis des machines non gérées Accès compartimenté aux ressources sensibles

18 La surcouche santé des réseaux Aperçu de NAP Validation vis à vis de la politique Détermine si oui ou non les machines sont conformes avec la politique de sécurité de lentreprise. Les machines conformes sont dites saines (ou « en bonne santé ») Restriction réseau Restreint laccès au réseau selon létat de santé des machines Mise à niveau Fournit les mises à jour nécessaires pour permettre à la machine de devenir saine. Une fois en bonne santé, les restrictions réseau sont levées Maintien de la conformité Les changements de la politique de sécurité de lentreprise ou de létat de santé des machines peuvent résulter dynamiquement en des restrictions réseau

19 Demande daccès Voici mon nouvel état de santé Server RADIUS (NPS) Client Périphérique daccès réseau (DHCP, VPN, 802.1X, IPsec, passerelle TS) Serveurs de remèdes Puis-je avoir accès ? Voici mon « état de santé » Ce client doit-il être restreint en fonction de sa « santé » ? Mises à jour de politique en cours sur le serveur RADIUS (NPS) Vous avez un accès restreint tant que vous navez pas amélioré les choses Puis-je avoir les mises à jour ? Vous pouvez… Daprès la politique, le client nest pas à jour Mise en quarantaine du client, lui demandant de se mettre à jour Réseau de lentreprise Réseau restreint On donne accès au poste client à lintranet Serveurs de politique En accord avec la politique, le client est à jour Accès accordé

20 Sauvegarde et restauration de fichiers Sauvegarde dune image CompletePC Restauration du système Versions précédentes (clichés instantanés ou Volume Shadow Copies)

21

22 Défis Solution Windows Vista Plus facile dêtre utilisateur standard Plus dautonomie : Fuseau horaire, gestion de lalimentation, VPN, Wi-Fi et + Installation de périphériques approuvés Commandes administratives clairement indiquées Meilleure compatibilité applicative Virtualisation Fichiers et Registre Meilleure protection pour Admins Par défaut, moindre privilège Demande de consentement avant élévation La plupart des utilisateurs utilisent tous les privilèges administrateurs de manière permanente Risqué p/r aux logiciels malveillants Empêche la gestion des postes de travail pour faire respecter la politique Coûteux Difficile dêtre vraiment utilisateur standard Certaines tâches ne fonctionnent pas De nombreuses applications ne sexécutent pas

23 Privilèges dadministrateur Privilèges dutilisateur standard (par défaut) Compte administrateur Compte utilisateur standard Comment demander élévation: Marquage application Détection installation Correctif compatibilité (shim) Assistant compatibilité Exécuter en tant quadministrateur

24 Application non signée Application signée Application système

25

26 Les besoins métier Les documents doivent être protégés quel que soit lendroit où ils voyagent Les données sur les partages doivent être chiffrées pour les protéger contre des accès non autorisés Les biens des entreprises tels que les PC portables ou les serveurs en agence doivent être protégés contre une compromission physique Solution = RMS, EFS, BitLocker Définition dune politique de sécurité et obligation de respecter cette politique faite au niveau de la plateforme (inclusion du client RMS) Chiffrement des fichiers par utilisateur (nouvel EFS) Chiffrement de disque reposant sur des mécanismes matériels (Bitlocker Drive Encryption)

27 Améliore la sécurité du registre, des fichiers de configuration, de pagination et dhibernation La destruction de la clé racine permet le redéploiement du matériel existant en toute sécurité Récupération possible pour toute personne disposant dun téléphone lui permettant daccéder à son administrateur

28 *******

29

30

31 Chiffre individuellement chaque fichier Transparent pour lutilisateur Protège les fichiers de données désignés contre les attaques offline Nouveau dans Windows Vista Support de la carte à puce Possibilité de chiffrement côté client de fichiers stockés sur un serveur de fichiers

32 Positionnement des différentes solutionsScénarioRMSEFS BitLocker TM Respect à distance de la politique pour documents Protection du contenu en transit Protection du contenu durant la collaboration Protection locale des fichiers et dossiers sur une machine partagée par plusieurs utilisateurs Protection des fichiers et dossiers distants Administrateur réseau de défiance Protection de portable Serveur dans une filiale Protection de fichiers et dossiers dans un contexte mono utilisateur

33

34 Renforcement des services Windows Sécurité du noyau Ingénierie pour la sécurité IE en mode protégé Pare-feu Windows Windows Defender Centre de sécurité Windows Network Access Protection (NAP) Contrôle des comptes dutilisateurs (UAC) Authentification

35 Ecrire du code sécurisé : un regard sur les bonnes pratiques d'implémentation sur Vista Windows Vista Kernel Changes User Account Control - Développer des applications Windows Vista dans le respect d'UAC Bitlocker Deep Dive Nouveautés Wi-Fi avec Windows Vista Se préparer à NAP Windows Vista : améliorations du firewall et IPsec Contrôle de compte utilisateur UAC : exécuter Windows Vista dans le respect du principe de moindre privilège Protection des données dans Windows Vista (Bitlocker, EFS, RMS) …

36 Guide de sécurité Windows Vista https://blogs.technet.com/voy

37 Blog UAC Utiliser le kit de compatibilité applicative ACT ta/deploy/appcompat/acshims.mspx ta/deploy/appcompat/acshims.mspx ta/deploy/appcompat/acshims.mspx ta/security/uacppr.mspx ta/security/uacppr.mspx ta/library/0d75f c9e-ac08- 4c21f5c6c2d9.mspx ta/library/0d75f c9e-ac08- 4c21f5c6c2d9.mspx

38 Using Application Compatibility Tools for Marking Legacy Applications with Elevated Run Levels on Microsoft Windows Vista ta/deploy/appcompat/acshims.mspx ta/deploy/appcompat/acshims.mspx ta/deploy/appcompat/acshims.mspx ta/security/bitlockr.mspx ta/security/bitlockr.mspx

39

40 Stacks Network Access Protection Network Location Awareness High Resolution/High DPI Windows Sideshow Windows Vista Display Driver Model People Near Me Windows Defender Power Management Live Icons Windows SideBar Parental Controls Windows Feedback Services Desktop Window Manager Registry/File System Virtualization Protected Mode IE Windows Service Hardening Sync Center Aero Presentation Settings Preview Pane User Account Control Ad-hoc Meeting Networks Quick Search Windows Imaging Format Windows Resource Protection MMC 3.0 Cancelable I/O Resource Exhaustion Diagnostics Peer Name Resolution Protocol Reading Pane Windows Disk Diagnostics Restart Manager Transactional Registry Single binary Memory Diagnostics Startup Repair Toolkit Transactional File System Eventing and Instrumentation WS-Management CardSpace SuperFetch Segoe UI Font Flip3D New Explorers Taskbar Thumbnails IPv6 XAML Search Folders Ink Analysis Split Tokens Mandatory Integrity Control UI Privilege Isolation Secure Startup Windows Filtering Platform User Mode Driver Framework New Open/Save Dialogs Shell Property System Winlogon Rearchitecture Windows Communication Foundation Windows Presentation Foundation Glass Open Package Specification XML Paper Specification Windows Workflow Foundation Windows Installer 4.0 Monad RSS Platform Function Discovery API Wizard Framework Crypto Next Generation Credential Providers Confident | Clear | Connected

41 Processus et standard dentreprise pour la sécurité lors de la conception et du développement Promu en interne via des formations Vérifié par audit avant la sortie du produit Livre The Security Development Lifecycle

42 Conception Définir les directives darchitectu re et de conception de la sécurité Documenter les éléments de la surface dattaque du logiciel Modélisation des menaces Standards, bonnes pratiques, et outils Appliquer les standards de dévelop- pement et de test Utiliser les outils de sécurité (fuzzing, analyse statique,…) Push sécurité Revues de code Tests de sécurité Revue des nouvelles menaces Conformité avec les critères de sortie Revue de sécurité finale Revue indépendant e conduite par léquipe sécurité Tests de pénétration Archivage des informations de conformité Sortie et déploiement Réponse sécurité Plan et processus en place Boucle de retour vers le processus de dévelop- pement Postmortems Démarrage du produit Assigner un conseiller en sécurité Identifier les étapes clés pour la sécurité Planifier lintégration de la sécurité dans le produit Prérequis Conception Mise en oeuvre Vérification Sortie Réponse

43 Réduction du nombre de redémarrages (nouvelle API) liés à lapplication de correctifs de sécurité Exemple : les applications Office 2007 tirent parti des API de notifications darrêt et de redémarrage permet la récupération de létat et du document après un redémarrage applicatif Shutdown API Sauvegarde du fichier de travail, des états Fermeture de lapplication Restart API Redémarrage de lapplication Reprend le fichier de travail, les états

44 IE6 IE6 sexécutant avec les droits dadministration (XP) Installation dun pilote, exécution de Windows Update Modification des paramètres, télé- chargement dune image Mise en cache du contenu Web Exploitation peut installer MALWARE Accès droits admin Accès droits utilisateur Fichiers temporaires HKLM Program Files HKCU Mes Documents Dossier de démarrage Fichiers et paramètres de défiance

45 Windows XP SP2/Windows 2003 SP1: Bloque par défaut les connexions entrantes non sollicitées Les exceptions autorisent des ports ou des programmes, pour certaines adresses sources ou sous-réseau Windows Vista/Windows Server Longhorn: Les règles de pare-feu deviennent plus intelligentes: Spécification de groupes dutilisateurs ou de machines Active Directory Spécification de prérequis de sécurité comme lauthentification ou le chiffrement

46 Segmentation dynamique de votre environnement Windows ® en des réseaux plus sécurisés et isolés logiquement, daprès une politique Labos Invités non gérés Isolation de serveur Protéger des serveurs et des données spécifiques de grande valeur Isolation de domaine Protéger des machines gérées des machines non gérées ou des intrus (machines ou utilisateurs)

47 Filtrage entrant et sortant avec tables détat pour IPv4 et IPv6 Règles par défaut configurables : Par défaut les flux entrants sont bloqués Par défaut les flux sortants sont autorisés ICMPv4 et ICMPv6 Filtrage de protocoles IP personnalisés Règles pour les programmes en utilisant le chemin ou le nom de service Support des types dinterface (RAS, LAN, Wi-Fi) Possibilité de contournement administratif du pare-feu

48 Ingénierie pour la sécurité Renforcement des services Windows Sécurité du noyau Processus SDL (Security Development Lifecycle ) amélioré Modélisation des menaces et revues de code Certification selon les Critères Communs (CC) Exécute les services avec des privilèges réduits Les services ont des profils dactivités autorisées pour le système de fichiers, le registre et le réseau (règles de pare-feu et permissions) Rendre plus difficile le camouflage de rootkit Signature de pilotes x64 Obligatoire pour les pilotes en mode noyau Protection contre la modification du noyau Désactivation détour- nements sauvages du noyau par applications

49 Tableau de bord indiquant le statut des paramètres et logiciels de sécurité Surveille plusieurs solutions de sécurité de multiples fournisseurs et indiques celles qui sont activées et à jour Pare-feu bidirectionnel activé par défaut Composant clé pour le renforcement de service Intégration IPsec Peut être désactivé par un pare-feu dune tierce partie Détection et suppression des spywares et autres logiciels indésirables Protection des points dextensibilité du système dexploitation Protège contre les dommages occasionnés par linstallation dun logiciel malveillant Processus IE enfermé pour protéger lOS Conçu pour la sécurité et la compatibilité IE en mode protégé Windows Defender Pare-feu Windows Centre de sécurité Windows

50 Nouvelle architecture remplaçant GINA Authentification forte Support natif de cartes à puce intégré Windows CardSpace Exécution en tant quutilisateur standard plus facile Contrôle parental Meilleure protection pour les administrateurs Assure que seules les machines saines peuvent accéder aux données de lentreprise Permet aux machines non saines dêtre mises en conformité avant dobtenir laccès Authentification Contrôle des comptes dutilisateurs (UAC) Network Access Protection (NAP)

51 Définition et respect dune politique Protège linformation où quelle voyage Nouveau : client RMS intégré dans Windows Vista Nouveau : protection de bibliothèques de docu- ments dans Sharepoint Chiffrement de fichiers et de dossiers par utilisateur Nouveau : possibilité de stocker les clés EFS dans une carte à puce avec Windows Vista Protection des données grâce au matériel Fournit un chiffrement intégral de volume Scénarios pour portables ou serveurs


Télécharger ppt "Contrôle de comptes utilisateurs (User Account Control - UAC) Support natif des cartes à puce Audit granulaire Securité et conformité BitLocker Drive."

Présentations similaires


Annonces Google