La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

1 Renforcer la Sécurité du poste de travail avec.

Présentations similaires


Présentation au sujet: "1 Renforcer la Sécurité du poste de travail avec."— Transcription de la présentation:

1 1 Renforcer la Sécurité du poste de travail avec

2 2 Quest ce que ? Un site Web très orienté technique –http://www.microsoft.com/france/technet/default.mspx Une newsletter personnalisable –http://www.microsoft.com/france/technet/presentation/flash/default.mspx Des séminaires techniques toute lannée, partout en France –http://www.microsoft.com/france/technet/seminaires/seminaires.mspx Des webcasts et e-démos accessibles à tout instant –http://www.microsoft.com/france/technet/seminaires/webcasts.mspx Un abonnement –http://www.microsoft.com/france/technet/presentation/cd/default.mspx

3 3 Logistique Pause en milieu de session Vos questions sont les bienvenues. Nhésitez pas ! Feuille dévaluation à remettre remplie en fin de session Commodités Merci déteindre ou de mettre en mode vibreur vos téléphones

4 4 Agenda Introduction générale Windows Vista Sécurité et Windows Vista En détail –Résilience du système –Fonctions anti-malware –User Account Control & niveaux dintégrité –Fonctions réseaux –Internet Explorer 7.0 –Protection des informations –Cryptographie Synthèse Questions & Réponses

5 5 Agenda Introduction générale Windows Vista Sécurité et Windows Vista En détail –Résilience du système –Fonctions anti-malware –User Account Control & niveaux dintégrité –Fonctions réseaux –Internet Explorer 7.0 –Protection des informations –Cryptographie Synthèse & feuille de route de Windows Vista Questions & Réponses

6 6 Les coûts de déploiement, dadministration et de sécurisation augmentent Les défis daujourdhui Productivité, coûts, sécurité Les employés gèrent une information croissante, non structurée mais doivent être plus productifs en équipe ou en déplacement. Les menaces et risques du Système dInformation augmentent (confidentialité, logiciels malveillants,..)

7 7 Les objectifs de Windows Vista Mobilité Permettre aux utilisateurs de travailler en tout lieu comme au bureau Recherche, Organisation, Partage Proposer une solution globale de stockage, gestion et recherche de linformation De nouveaux usages pris en compte Sécurité des données et du système Des fondamentaux renforcés Sécurité Déploiement et administration Réduction des coûts et de la complexité du déploiement Coûts Applications connectées Permettre la mise en œuvre darchitecture Smart Client, XML Une plate-forme applicative puissante Productivité

8 8 Les versions de Windows Vista Pour la maison Pour lentreprise

9 9 Agenda Introduction générale Windows Vista Sécurité et Windows Vista En détail –Résilience du système –Fonctions anti-malware –User Account Control & niveaux dintégrité –Fonctions réseaux –Internet Explorer 7.0 –Protection des informations –Cryptographie Synthèse Questions & Réponses

10 10 Security Development Lifecycle Processus de développement de Windows Vista Processus amélioré de Security Development Lifecycle (SDL) pour Windows Vista –Formation périodique obligatoire à la sécurité –Assignation de conseillers en sécurité pour tous les composants –Modélisation des menaces intégré à la phase de conception –Revues de sécurité et tests de sécurité inclus dans le planning –Mesures de la sécurité pour les équipes produit Certification Critères Communs (CC)

11 11 Windows Vista et la sécurité Résilience du système –Intégrité du code –Renforcement des services Windows –Contrôle de lusage des périphériques –Security Center – Mise à jour du système Fonctions anti-malware –Windows Defender –Malicious Removal Tool Fonctions réseaux –Nouveau Pare-feu Windows –Client Network Access Protection (NAP) –IPv6, IPSec User Account Control (UAC) Internet Explorer 7 –Anti-phishing –Mode protégé Démarrage sécurisé et chiffrement intégral de volume (BitLocker) Amélioration de la résistance du système par réduction de la surface et des vecteurs potentiels dattaques. + Protection des données et informations de lutilisateur

12 12 Agenda Introduction générale Windows Vista Sécurité et Windows Vista En détail –Résilience du système –Fonctions anti-malware –User Account Control & niveaux dintégrité –Fonctions réseaux –Internet Explorer 7.0 –Protection des informations –Cryptographie Synthèse Questions & Réponses

13 13 Code Integrity Code Integrity protège les fichiers du système dexploitation lorsque celui-ci est en cours dexécution –Signature de tous les exécutables et DLL du système dexploitation –Vérification de la validité des signatures lors du chargement en mémoire Le but est ici de sassurer quun logiciel malveillant ne remplace pas un fichier du système dexploitation ou ninjecte pas un pilote non signé afin de compromettre une partie du système dexploitation Binaires vérifiés (hash vérifié): –Ceux chargés en mode noyau (tout le binaire) –Ceux chargé dans un processus protégé - un seul : Media Foundation PMP (par page) –Les DLL installées par le système qui implémentent des fonctions cryptographiques (par page) En cas déchec de la vérification –Comportement dicté par la politique CI –System Recovery gère les échecs pour les fichiers nécessaires au boot –Si échec de vérification dune page en mode utilisateur, exception levée qui résulte souvent en léchec de lapplication –Enregistrement dévénements dans Event Viewer / Application Logs / Microsoft / Windows / CodeIntegrity

14 14 Renforcement des services Windows Réduire la taille des couches à haut risque Admin Services D D D Utilisateur Noyau D Pilotes en mode noyau Service 1 Service 2 Service 3 Service … Service … Services restreints Programmes avec droits restreints DD D Segmenter les services Augmenter le nombre de couches Service A Service B D Pilotes en mode utilisateur

15 15 Durcissement des services Windows Établissement dun profil pour les services Windows indiquant les actions autorisées pour le réseau, le système de fichiers et le registre Conçu pour bloquer les tentatives de détournement dun service Windows pour écrire à un endroit qui ne fait pas partie du profil du service Réduit le risque de propagation dun logiciel malveillant (ex: Blaster, Sasser…) Durcissement de services Système de fichiers Registre Réseau

16 16 Services restreints Service restreint : –Privilèges nécessaires –Règles réseau Le SCM, au démarrage du service : –Calcule le SID du service : S-1-80-{SHA-1 du nom du service} –Crée un jeton restreint (par le SID de service) et ne contenant que les privilèges nécessaires Permissions explicites sur le SID du service : registre, fichiers Rend possible lutilisation des comptes LocalService et NetworkService et les permissions supplémentaires si besoin

17 17 Contrôle de lusage des périphériques Ajouter la prise en charge de périphériques et autoriser ou interdire leur installation –Les pilotes approuvés par le service informatique peuvent être ajoutés dans le Trusted Driver Store (staging) –Les Driver Store Policies (stratégies de groupe) déterminent le comportement pour les packages de pilote qui ne sont pas dans le Driver Store. Par exemple : Pilotes qui ne sont pas aux standards de lentreprise Pilotes non signés –Ces stratégies sont désactivées par défaut en raison des risques inhérents aux pilotes arbitraires Le Driver Store est un entrepôt de confiance sur chaque machine cliente Une fois quun pilote est ajouté au Driver Store par un administrateur, il peut être installé quelles que soient les permissions de lutilisateur qui a ouvert une session

18 18 Driver Package Integrity Changements dans limplémentation de la signature des pilotes Les administrateurs doivent être en mesure de savoir : –Qui a publié un package dinstallation de pilote –Que le package dinstallation de pilote na pas été altéré depuis quil a été publié Les administrateurs peuvent finalement signer les pilotes, et définir une politique pour faire confiance à ce quils ont signé Les pilotes signés par un éditeur de confiance peuvent être installés par les utilisateurs standards

19 19 Stratégie de groupe Installation de périphériques

20 20 Windows Security Center Vérification de létat des mises à jour Protection contre les malwares (anti-virus et anti-spywares) Détection du pare-feu Contrôle de lactivation dUAC Vérification du bon paramétrage dInternet Explorer 7.0

21 21 Rendre plus facile la gestion des correctifs Moins de correctifs, plus petite taille Outil commun danalyse Application directe des correctifs à une image Moins de redémarrages Mise à jour automatique pour tout Expérience avec les mises à jour : cohérence et fiabilité Moins dinterruption de lutilisateur Moins de temps nécessaire pour les administrateurs

22 22 Restart Manager Nouvelle API pour diminuer le nombre de redémarrages liés à lapplication de correctifs de sécurité Exemple : les applications Office 2007 tirent parti des API de notifications darrêt et de redémarrage –permet la récupération de létat et du document après un redémarrage applicatif Shutdown API Sauvegarde du fichier de travail, des états Fermeture de lapplication Restart API Redémarrage de lapplication Reprend le fichier de travail, les états

23 23 Agenda Introduction générale Windows Vista Sécurité et Windows Vista En détail –Résilience du système –Fonctions anti-malware –User Account Control & niveaux dintégrité –Fonctions réseaux –Internet Explorer 7.0 –Protection des informations –Authentification et cryptographie Synthèse Questions & Réponses

24 24 Anti-malware et Windows Vista Windows Vista nintègre pas de protection antivirus en temps réel. Cependant, Windows Vista inclut Windows Defender et utilise loutil de suppression des logiciels malveillants (MSRT). Les cellules en vert indiquent ce qui est inclus dans le système dexploitation Analyse et supprimeProtection en temps réel Traite les spywares (et potentiellement les logiciels non désirés) Windows Defender Traite les virus, vers ou chevaux de Troie MSRT (Malicious Software Removal Tool) Produits tiers, OneCare, Microsoft Forefront Client Security

25 25 Fonctions intégrées anti-malware Windows Defender –Fonctions intégrées de détection, nettoyage, et blocage en temps réel des spywares (dont intégration avec Internet Explorer pour fournir une analyse anti-spyware avant téléchargement) 9 agents de surveillance Système de scan rapide intelligent –Ciblé pour les consommateurs (pas de fonctions de gestion en entreprise) –La gestion en entreprise est possible avec le produit payant séparé Microsoft Client Protection –Mise à jour via Microsoft Update MRT (Malicious software Removal Tool) intégré permet de supprimer virus, bots, et chevaux de Troie pendant une mise à jour et sur une base mensuelle

26 26 Windows Vista - Defender

27 27 Agenda Introduction générale Windows Vista Sécurité et Windows Vista En détail –Résilience du système –Fonctions anti-malware –User Account Control & niveaux dintégrité –Fonctions réseaux –Internet Explorer 7.0 –Protection des informations –Authentification et cryptographie Synthèse Questions & Réponses

28 28 Objectifs dUAC (User Account Control) Tous les utilisateurs sexécutent comme des utilisateurs standards même sils sont administrateurs –Tâches courantes revues pour fonctionner en tant quutilisateur standard –Ne concerne que le logon interactif Les administrateurs nutilisent leurs privilèges que pour les tâches ou applications administratives Lutilisateur fournit un consentement explicite avant dutiliser des privilèges élevés Haute compatibilité des applications. Les installateurs dapplications sont détectés. Les applications nécessitant des privilèges « admin » peuvent être marquées comme telles

29 29 Définitions utiles pour UAC Utilisateur –Compte nappartenant pas au groupe local Administrateurs –Ne peut pas effectuer des changements sur le système complet (à quelques exceptions près comme les paramètres daffichage) –Utilisateur à moindre privilège (LUA) ou Utilisateur Standard Administrateur –Compte appartenant au groupe local Administrateurs –Par défaut les mêmes privilèges quun Utilisateur, mais a la possibilité de les élever pour avoir un accès complet à la machine –Administrateur protégé (PA) Mode consentement –Mode dans lequel il est demandé son consentement à lAdministrateur avant deffectuer une tâche administrative –sauf pour le compte local Administrateur Mode saisie –Demande dintervention dun administrateur (authentification : nom/mot de passe, carte à puce…) –Lorsquun utilisateur effectue une tâche administrative

30 30 Meilleure expérience des utilisateurs standards Corriger / supprimer les contrôles administratifs inappropriés –Exemple typique : lhorloge système –Ajout dimprimante, dautres périphériques, changement de fuseau horaire, défragmenteur, options dalimentation, ajout dune clé WEP/WPA… –Cacher certains éléments de linterface si lutilisateur nest pas administrateur Utilisateur standard par défaut lors de la création Le bouclier indique une tâche nécessitant une élévation immédiate de privilèges.

31 31 Demande délévation de privilèges Pour un administrateur Application du système ou signée Application non signée Consentement ou Saisie de mot de passe

32 32 2 jetons pour un administrateur Jeton restreint par défaut Privilèges dun utilisateur standard Jeton complet Privilèges dun administrateur Consentement par défaut

33 33 Compatibilité avec UAC Problème : applications qui ne fonctionnent pas correctement sans privilèges élevés Virtualisation –Écriture : redirige les écritures « par machine » (disque, registre) vers le profil utilisateur Program Files, HKLM –Lecture : essaie de lire depuis le profil utilisateur en premier Outil : Microsoft Standard User Analyzer –Identifie les appels (API) qui ne fonctionneraient pas en tant quutilisateur standard –Identifie les accès requérant un privilège administrateur –http://www.microsoft.com/downloads/details.aspx?FamilyID=df59b474 -c0b c70-b0d9d3d2f575&DisplayLang=enhttp://www.microsoft.com/downloads/details.aspx?FamilyID=df59b474 -c0b c70-b0d9d3d2f575&DisplayLang=en

34 34 Configuration dUAC Secpol.msc, Local Policies, Security Options 6 paramètres pour configurer lactivation (ou la désactivation), le comportement, le contrôle des signature et la virtualisation

35 35 Mécanisme disolation / protection des processus UI Privilege Isolation (UIPI) permet dempêcher les applications dadministration et linterface homme – machine de consentement, dêtre scriptées, usurpées, attaquées (via des shatter attacks). Mandatory Integrity Control (MIC) fournit une protection au niveau SID des attaques réalisées par les processus sexécutant avec un jeton UAC contenant le même user SID –Dans ce cas, les ACL existantes ne seraient pas suffisants (écriture arbitraire en mémoire, injection de threads, etc).

36 36 Mandatory Integrity Control (MIC) Isolation des processus Processus à différents niveaux sur le même bureau Le niveau de privilège (admin, UAC) détermine le niveau dintégrité Intégrité ~ confiance Isole les interactions spécifiques entre les niveaux de privilège –Bas ne peut pas écrire dans haut Blocage à la frontière des niveaux dintégrité –Attaques Shatter –Injection de DLL Compatibilité applicative inchangée au même niveau dintégrité IE WordPPT Console AV CPL Service Système Admin Utilisateur/UAC Limité exe téléchargé + intègre Niveau dintégrité - intègre

37 37 Isolation des processus Deux jetons pour un administrateur : complet et restreint –Les deux ont le même SID utilisateur –Le niveau dintégrité (IL) est ajouté aux jetons pour les isoler (cest un SID de la forme S ) –Les IL sont obligatoires et ne peuvent pas être changés durant leurs cycles de vie Les processus LUA ont un niveau dintégrité inférieur et ne peuvent pas –Effectuer une élévation de privilèges en modifiant des processus PA –Envoyer des messages à des fenêtres dun processus PA… ou des fenêtres de nimporte quel processus dun niveau dintégrité supérieur Le processus LUA peut lire des données appartenant au processus PA (le but premier est de protéger contre lécriture / la modification)

38 38 Synthèse UAC, MIC, UIPI User Account Control : changer les bases du système –Corriger le système pour quil fonctionne correctement lorsquon est utilisateur standard Corriger / supprimer les vérifications administratives inappropriées (ex : affichage de lhorloge) Faire en sorte que même les administrateurs exécutent leurs applications en tant quutilisateur avec moindre privilège –Fournir une méthode sécurisée pour exécuter certaines applications dans un contexte de privilèges élevés Indiquer clairement que les actions ont alors un impact sur la machine tout entière Nécessite que les applications non-UAC soient marquées –Virtualisation du registre et des fichiers pour permettre la compatibilité Mandatory Integrity Control (MIC) / UIPI : isoler les processus

39 39 Agenda Introduction générale Windows Vista Sécurité et Windows Vista En détail –Résilience du système –Fonctions anti-malware –User Account Control & niveaux dintégrité –Fonctions réseaux –Internet Explorer 7.0 –Protection des informations –Cryptographie Synthèse Questions & Réponses

40 40 Améliorations du pare-feu Windows Filtrage entrant et sortant avec tables détat pour IPv4 et IPv6 –Règles par défaut configurables : Les flux entrants sont bloqués / Les flux sortants sont autorisés Règles pour les programmes en utilisant le chemin ou le nom de service Restrictions sur les services –filtrage basé sur les SID de services Granularité de la politique de sécurité réseau de lhôte –Autoriser, Bloquer, autoriser si politiques sécurisées –Exceptions sur les utilisateurs ou les groupes Profils de politique selon la position –Profil de domaine et profil standard –La connectivité au domaine est authentifiée Nouveaux algorithmes cryptographiques –Chiffrement : AES-128, AES-192, AES-256 –Échange de clés : ECDH P-256, ECDH P-384

41 41 Administration du pare-feu Gestion combinée dIPSec et du pare-feu –Nouvelle console dadministration MMC 3.0 (Windows Firewall with Advanced Security) –Nouvelles commandes en ligne (netsh advfirewall) Politique de protection simplifiée –Simplifie le nombre dexemptions IPSec nécessaires dans un déploiement de grande ampleur Gestion à distance

42 42 Segmentation dynamique basée sur une politique Défiance Ordinateur non géré ou intrus Isolation de domaine Contrôleur de domaine Active Directory X Isolation de serveur Serveurs avec des données sensibles Poste de travail RH Ordinateur géré X Serveur de ressources de confiance Réseau dentreprise Définition des frontières de lisolation logiqueDistribution des politiques et lettres de créance Les ordinateurs gérés peuvent communiquer Blocage des connexions entrantes depuis des machines non gérées Accès compartimenté aux ressources sensibles

43 43 Network Access Protection Objectifs : vérification de la conformité des postes lors de leur connexion au réseau de lentreprise et mise en quarantaine en cas de non respect des standards imposés par la politique sécurité de lentreprise Aperçu de NAP –Validation vis à vis de la politique : détermine si oui ou non les machines sont conformes avec la politique de sécurité de lentreprise. Les machines conformes sont dites saines (ou « en bonne santé ») –Restriction réseau : restreint laccès au réseau selon létat de santé des machines –Mise à niveau : fournit les mises à jour nécessaires pour permettre à la machine de devenir saine. Une fois en bonne santé, les restrictions réseau sont levées –Maintien de la conformité : les changements de la politique de sécurité de lentreprise ou de létat de santé des machines peuvent résulter dynamiquement en des restrictions réseau

44 44 Demande daccès ? Voici mon nouveau status Est ce que le client doit être restreint en fonction de son status? En accord avec la politique, le client nest pas à jour. Mise en quarantaine et demande au client de se mettre à jour Puis je avoir accès ? Voici mon status actuel En accord avec la politique, le client est à jour Accès autorisé NAP : principe de fonctionnement Network Policy Server Client Network Access Device (DHCP, VPN) Remediation Servers (antivirus, système de maj de correctifs…) Mise à jour du serveur IAS avec les politiques en cours Vous avez droit à un accès restreint tant que vous nêtes pas à jour Puis je avoir les mises à jour ? Les voici Réseau de lentreprise Réseau restreint (quarantaine) Le Client obtient laccès complet à lIntranet System Health Servers (défini les pré requis du client) System Health Validators Microsoft et 3 rd Parties Quarantine Server System Health Agents Microsoft et 3 rd Parties (AV/Patch/FW/Other) Quarantine Agent Quarantine Enforcement Client Microsoft et 3 rd Parties DHCP/VPN/IPsec/802.1x

45 45 Nouveautés Wifi dans Vista Objectifs SécuritéSupport des standards les plus sécurisés Protège des attaques les plus courantes Support des solutions de sécurité non standards AdministrationStratégies de groupes Ligne de commande Réduction des coûts Diagnostics : réduisent la charge du support Fiabilité améliorée grâce à larchitecture native Wi-fi

46 46 Sécurité Wifi de Windows Vista Niveau de standards de sécurité le plus élevé –WPA2 (802.11i), WPA, 802.1x –PEAP MSCHAPv2 (défaut dans Vista), PEAP-TLS, EAP- TLS Réseau ad-hoc sécurisé –WPA2-PSK Extensibilité EAPHost –Permet des méthodes EAP tierces Gestion par stratégies de groupe et ligne de commande Support de Network Access Protection (NAP)

47 47 Vulnérabilités wi-fi prises en compte Liste des réseaux préférés non diffusée Utilisateurs novices protégés –Réseaux non protégés clairement indiqués –Lassistant de création dun réseau choisit par défaut le niveau de sécurité le plus élevé en fonction de la carte Des réseaux et types de réseaux spécifiques peuvent être bloqués / autorisés

48 48 Stratégies de groupe pour le wi-fi Déploiement simplifié –Support denvironnements de sécurité Wi-fi mixtes –Séparation du 802.1x sur câble et sans fil Gestion granulaire –Listes autorisations / interdictions –WPA2, WPA, WEP, EAP-TLS, PEAP-MSCHAPv2, etc. –Support des réseaux cachés –Connectivité manuelle / automatique Expérience utilisateur améliorée Extensibilité –Pour les paramètres spécifiques aux fournisseurs de matériel

49 49 Ligne de commande (Netsh) Wireless Commands add profile add filter show profiles show filters show settings show interfaces delete profile delete filter set preferenceorder set autoconfig set blockednetworks export profile dump Wired Commands add profile show profiles show settings show interfaces delete profile set autoconfig export profile

50 50

51 51 Agenda Introduction générale Windows Vista Sécurité et Windows Vista En détail –Résilience du système –Fonctions anti-malware –User Account Control & niveaux dintégrité –Fonctions réseaux –Internet Explorer 7.0 –Protection des informations –Cryptographie Synthèse Questions & Réponses

52 52 Fonctionnalités de sécurité dIE7 Défense contre les vulnérabilités –Consentement explicite pour lexécution des ActiveX –Parsing unifié des URL –Amélioration de la sécurité inter-domaines –Amélioration de la qualité du code pour réduire le nombre de buffer overruns –Mode protégé (Windows Vista seulement) Défense contre les téléchargements et les sites web trompeurs –Analyse des téléchargements au moyen de Windows Defender –Filtre anti-phishing –Sécurisation du paramétrage par défaut pour le support des IDN (International Domain Names) –Haut niveau dassurance SSL et barre dadresses –Alerte en cas de paramétrage dangereux –Contrôle parental (Windows Vista seulement)

53 53 Filtre anti-phishing Fournit 3 « contrôles » pour protéger les utilisateurs du phishing : 1.Compare le site Web avec une liste de site légitimes connus localement 2.Examine la page Web grâce à une heuristique afin de détecter les caractéristiques communes des sites de phishing 3.Contrôle le site par rapport à un service Microsoft en ligne qui signale les sites connus pour leurs activités de phishing mis à jour plusieurs fois chaque heure

54 54 Blocage synchrone dans IE Contrôles ActiveX

55 55 Choix explicite des ActiveX à exécuter Problématique : –Les contrôles ActiveX peuvent exposer des fonctions dangereuses et présenter des vulnérabilités exploitables par nimporte quelle page Web Solution : –Les contrôles ActiveX préinstallés demanderont lautorisation de sexécuter lors de leur première utilisation, de même que les contrôles téléchargés –Les utilisateurs peuvent lancer IE avec tous les add-ons désactivés (y compris les BHO)

56 56 Mode Protégé Construit notamment sur la notion de Mandatory Integrity Control –Internet Explorer sexécute à un niveau dintégrité bas Permet de réduire la sévérité des menaces sur les add-ons dIE Elimine les installations de code malfaisant sous couvert de vulnérabilités logicielles Préserve la compatibilité là où cest possible –Fournit les possibilités et la documentation pour permettre de restaurer les fonctionnalités des add-ons Minimise lintervention de lutilisateur

57 57 Mode protégé dInternet Explorer Sappuie sur UAC/MIC pour protéger les données et paramètres de lutilisateur Fait tourner Internet Explorer en mode lecture seule dans la Zone Internet, à lexception du répertoire Temporary Internet Files Bloque la possibilité pour les logiciels malveillants de supprimer des données de lutilisateur, de détourner des paramètres du navigateur, ou dajouter quoi que ce soit dans le dossier de démarrage de lutilisateur sans son consentement

58 58 Agenda Introduction générale Windows Vista Sécurité et Windows Vista En détail –Résilience du système –Fonctions anti-malware –User Account Control & niveaux dintégrité –Fonctions réseaux –Internet Explorer 7.0 –Protection des informations –Cryptographie Synthèse Questions & Réponses

59 59 Protection de linformation Les besoins métier : –Les documents doivent être protégés quel que soit lendroit où « ils voyagent » –Les données sur les partages doivent être chiffrées pour les protéger contre des accès non autorisés –Les biens des entreprises tels que les PC portables ou les serveurs en agence doivent être protégés contre une compromission physique Solution = RMS, EFS, BitLocker –Définition dune politique de sécurité et obligation de respecter cette politique faite au niveau de la plateforme –Chiffrement des fichiers par utilisateur –Chiffrement de disque reposant sur des mécanismes matériels

60 60 Chiffrement de disque avec BitLocker Conçu spécifiquement pour empêcher un voleur qui démarrerait un autre OS ou exécuterait un outil de hacking pour casser les protections système et fichiers de Windows Fournit une protection des données sur les systèmes clients Windows, même quand le système est entre des mains non autorisées ou exécute un système dexploitation différent Utiliser un module TPM 1.2 pour le stockage de clé Scénarios –Vol de PC –Déploiement serveur dagence –Recyclage de PC

61 61 BitLocker : concepts Chiffrement de la partition entière au niveau secteur –Protection des fichiers système et fichiers temporaires, des fichiers dhibernation et de swap, etc… Authentification de lOS par TPM permet laccès à la clé de chiffrement –TPM Version 1.2 ( La clé de chiffrement est scellée pour le loader autorisé –Seul le « bon » OS peut déverrouiller laccès –Démarrage sécurisé (Secure Startup) Renforcement de la protection par deux facteurs –TPM + code PIN –TPM + clé USB Mode sans TPM –Clé USB seule Protection des données en mode déconnecté, mais perte de la notion de Secure Startup

62 62 Chiffrement de disque avec BitLocker Chiffrement secteur par secteur –Tailles 512, 1024, 2048, 4096, ou 8192 octets Avec une clé FVEK (Full Volume Encryption Key) –256 bits –Protégée par la VMK (appelée aussi SRK) Méthode –AES 256 en mode CBC avec une diffusion supplémentaire Protection de la clé de chiffrement –par TPM (Trusted Platform Module) seulement –par clé USB seulement (machines sans TPM) –par TPM + code PIN –par TPM + clé USB

63 63 Facilité dutilisation vs sécurité*******

64 64 La partition Windows contient Le système dexploitation chiffré Le fichier de pagination chiffré Les fichiers temporaires chiffrés Les donnée chiffrés Le fichier dhibernation chiffré Lorganisation du disque et le stockage des clés Boot La partition de Boot contient : MBR, Loader, utilitaires de boot (Non chiffrée, petite) Où sont les clés de chiffrement ? SRK (Storage Root Key) contenu dans le TPM La SRK chiffre la VEK (Volume Encryption Key) protégé par TPM / PIN / Dongle La VEK est stockée (chiffrée par la SRK) sur le disque dur dans la partition de boot VEK 2 3 Windows 1

65 65 Architecture SRTM des premiers composants de lamorçage

66 66 Démarrage sécurisé - Bitlocker

67 67 Chiffrement de disque avec BitLocker Group Policy et récupération Machine hors domaine –Récupération se fait par mot de passe sur fichier/imprimante, ou par clé USB – Lutilisateur contrôle sa stratégie de récupération Machine dans un domaine Active Directory –Group Policy permet de contrôler Activation de BitLocker Drive Encryption Sauvegarde du mot de passe de récupération dans AD La VMK est protégée –Par le mécanisme principal TPM (y compris TPM+PIN) ou TPM+Clé USB –Par les mécanismes de récupération Mot de passe Clé USB Les « blobs » sont stockés en tant que métadonnées sur la partition système (la partition non chiffrée)

68 68 Récupération du Secure Startup

69 69 Chiffrement du système de fichiers par utilisateur Chiffrement de disque basé sur le matériel Synthèse RMS, EFS et BitLocker Protection des données dans Windows Vista Rights Management Services Encrypted File System BitLocker Définition et respect dune politique

70 70 Scénarios BitLocker EFSRMS PortablesX Serveur dune succursaleX Protection locale de fichiers et dossiers pour un seul utilisateur X Protection locale de fichiers et dossiers pour un plusieurs utilisateurs X Protection distante de fichiers et dossiersX Administrateur réseau de défianceX Respect à distance de la politique pour un documentX Quelle fonctionnalité utiliser ? De qui cherchez-vous à vous protéger ? Dautres utilisateurs ou administrateurs de la machine ? EFS Dutilisateurs non autorisés avec un accès physique à la machine? BitLocker Certains cas peuvent se chevaucher (par ex. plusieurs utilisateurs itinérants avec des administrateurs réseau de défiance)

71 71 Comparaison des technologies BitLockerEFSRMS ChiffrementAES 128 DonnéesBlocsFichiersDéfini par lapplication; document ou Stockage de clésIdentité TPM + logiciel, Dongle, Fichier Logiciel, carte à puceLogiciel obscurci Protège quoi ?Windows et donnéesRépertoires et fichiersConfidentialité et usage des documents Protège qui ?Le propriétaire et lutilisateur de la machine Les utilisateursLes propriétaires de documents Gestion de clésTPM, DongleLogiciel, carte à puceRMS ProtectionLocale, distante Distante Scénario typePortable perdu ou voléPC multiutilisateurPartage de document protégé Scenario type pour ladministrateur Bit ChippingContrôle riche de lusage dEFS sur les PC de lentreprise, via GPO Établir une politique dentreprise de gestion de linformation Ladmin peut tout ?OuiNon*Non Supporte dautres mécanismes de sécurité OuiOui*Non Mécanisme de récupération de données Dongle, Fichier, AD, entrée manuelle de la clé Politique locale ou ADPolitique du serveur RMS

72 72 Agenda Introduction générale Windows Vista Sécurité et Windows Vista En détail –Résilience du système –Fonctions anti-malware –User Account Control & niveaux dintégrité –Fonctions réseaux –Internet Explorer 7.0 –Protection des informations –Cryptographie Synthèse Questions & Réponses

73 73 Améliorations PKI Permettre la mise en œuvre de scénarios dapplications de PKI de bout en bout –Wi-Fi sécurisé, VPN, IPsec, EFS, ouverture de session par carte à puce, SSL/TLS, S/MIME et signatures numériques Étendre la gestion du cycle de vie des lettres de créance Montée en charge des services de révocation pour toutes les applications –Client OCSP pour les services de révocation haut volume / grande vitesse

74 74 CryptoAPIv1 (CAPI) Algorithmes –AES128, AES192, AES256, 3DES, DES, RC2, RC4 –RSA, DH, DSA –SHA1, HMAC-SHA1, MD5, HMAC-MD5, MD4, MD2 There are 15 providers: Type 01 - Gemplus GemSAFE Card CSP v1.0 Type 01 - Infineon SICRYPT Base Smart Card CSP Type 01 - Microsoft Base Cryptographic Provider v1.0 Type 13 - Microsoft Base DSS and Diffie-Hellman Cryptographic Provider Type 03 - Microsoft Base DSS Cryptographic Provider Type 01 - Microsoft Base Smart Card Crypto Provider Type 18 - Microsoft DH SChannel Cryptographic Provider Type 01 - Microsoft Enhanced Cryptographic Provider v1.0 Type 13 - Microsoft Enhanced DSS and Diffie-Hellman Cryptographic Provider Type 24 - Microsoft Enhanced RSA and AES Cryptographic Provider (Prototype) Type 05 - Microsoft Exchange Cryptographic Provider v1.0 Type 12 - Microsoft RSA SChannel Cryptographic Provider Type 01 - Microsoft Strong Cryptographic Provider Type 01 - Schlumberger Cryptographic Service Provider Type 01 - Windows for Smart Cards Cryptographic Service Provider Microsoft Enhanced RSA and AES Cryptographic Provider (Prototype): RC2, Key sizes = 128 (def), 40, 128, Protocols supported 0x RC4, Key sizes = 128 (def), 40, 128, Protocols supported 0x DES, Key sizes = 56 (def), 56, 56, Protocols supported 0x DES TWO KEY, Key sizes = 112 (def), 112, 112, Protocols supported 0x DES, Key sizes = 168 (def), 168, 168, Protocols supported 0x SHA-1, Key sizes = 160 (def), 160, 160, Protocols supported 0x MD2, Key sizes = 128 (def), 128, 128, Protocols supported 0x MD4, Key sizes = 128 (def), 128, 128, Protocols supported 0x MD5, Key sizes = 128 (def), 128, 128, Protocols supported 0x SSL3 SHAMD5, Key sizes = 288 (def), 288, 288, Protocols supported 0x MAC, Key sizes = 0 (def), 0, 0, Protocols supported 0x RSA_SIGN, Key sizes = 1024 (def), 384, 16384, Protocols supported 0x RSA_KEYX, Key sizes = 1024 (def), 384, 16384, Protocols supported 0x HMAC, Key sizes = 0 (def), 0, 0, Protocols supported 0x AES 128, Key sizes = 128 (def), 128, 128, Protocols supported 0x AES 192, Key sizes = 192 (def), 192, 192, Protocols supported 0x AES 256, Key sizes = 256 (def), 256, 256, Protocols supported 0x

75 75 Crypto Next Generation (CNG) Refonte du moteur de chiffrement –Remplacement à long terme et progressif de CAPI 1 Permettre la mise en œuvre et lutilisation de la crypto dune manière plus « agile » –Facilité dintroduire de nouveaux algorithmes –Facilité de remplacer des implémentations dalgorithmes par de nouvelles implémentations Les algorithmes et implémentations dépendent de lenvironnement Secteur public, Secteur privé, Défense, Politique, Géographie La sureté des algorithmes et implémentations saltère avec le temps MD5 -> SHA1 -> SHA2 RSA -> ECC

76 76 Support de la nouvelle cryptographie CNG – Linterface OCI (Open Cryptographic Interface) pour Windows Nouvelle infrastructure crypto remplaçant lAPI CAPI 1.0 Possibilité dinsérer en mode noyau ou en mode utilisateur : –Algorithmes cryptographiques propriétaires –Remplacements des algorithmes cryptographiques standards –Key Storage Providers (KSP) Permet la configuration de la cryptographie aux niveaux de lentreprise et de la machine Le sous-système pour cartes à puce supportera les cartes dual mode (RSA et ECC)

77 77 Crypto Next Generation Supporte de base un sur-ensemble des algorithmes déjà offerts par les CSP MS de CAPI 1 –Chiffrement symétrique et asymétrique, hachage, RNG, échange de clé, signature –Support PKCS#1 v2.1 pour le wrapping des clés privées –Exposant public RSA > 32 bits Chiffrement à courbe elliptique et hachage renforcé –ECDH (échange de clé), ECDSA (signature) Courbes NIST P-256, P-384, P-521 Implémentation MS Research –SHA-2 (256, 384, 512) –Conforme aux exigences des Critères Communs et de FIPS pour lisolation forte et laudit –Conformité Suite-B et recommandations gouvernements pays OTAN (

78 78 Suite-B AES, ECC and stronger hashes Customer Target Assurance Level General Classified Basic Assurance Homeland Security Critical National Infrastructure Privacy Symmetric EncryptionAES-256AES-128 or 256AES-128 Key EstablishmentECDH or MQV-384ECDH or MQV-256 or 384 ECDH or MQV-256 Key Wrap (Internal & OTAR) Product DependentAES Key Wrap HashSHA-384SHA-256 Message SignatureECDSA-384ECDSA-256 Certificate SignatureECDSA-384ECDSA-256 Suite-B est un standard de la NSA qui spécifie les suites d'algorithmes cryptographiques à utiliser pour la sécurité des communications du gouvernement US. Suite-B exige l'utilisation de AES, avec ECC pour l'échange de clés et les signatures digitales, ainsi que les hash forts de type SHA-256 et SHA-384. D'autres exigences sont spécifiées par les standards FIPS tels que l'isolation des clés, etc... Plusieurs gouvernements des pays de lOTAN mandatent aussi lutilisation des algorithmes à base de courbes elliptiques pour le chiffrement ainsi que la possibilité de contrôler les algorithmes et leurs implémentation au sein de la plateforme…

79 79 Agenda Introduction générale Windows Vista Sécurité et Windows Vista En détail –Résilience du système –Fonctions anti-malware –User Account Control & niveaux dintégrité –Fonctions réseaux –Internet Explorer 7.0 –Protection des informations –Cryptographie Synthèse Questions & Réponses

80 80 Evolution des composants standards sécurité Centre de Sécurité Pare-feu intégré Pare-feu bidirectionnel avec gestion intégrée dIPSec Windows Defender (anti-spywares) Malicious Software Removal Tool Internet Explorer 7.0 (anti-phishing, …) Support des derniers standards sécurité Wi-fi (WPA2, WPA, i802.1x…) User Account Control (utilisation limitée des privilèges administrateur) Windows Vista Windows 2000 Professionnel Windows XP Professionnel Composant additionnel Client Network Access Protection Support de IPv6 Chiffrement intégral du disque dur. Utilisation de TPM 1.2 et + Composant additionnel

81 81 Ressources utiles Site dinformations sur Windows Vista et Windows 2008 : Sécurité et protection dans Windows Vista : svista/secuprotec.mspx svista/secuprotec.mspx Blog Windows Vista Security : Windows Vista Security Guide : Network Access Protection (NAP) :

82 82 Questions / Réponses

83 83


Télécharger ppt "1 Renforcer la Sécurité du poste de travail avec."

Présentations similaires


Annonces Google