La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Sécurité des terminaux Windows Mobile 5 Thierry Picq Managing Consultant Microsoft Services France.

Présentations similaires


Présentation au sujet: "Sécurité des terminaux Windows Mobile 5 Thierry Picq Managing Consultant Microsoft Services France."— Transcription de la présentation:

1 Sécurité des terminaux Windows Mobile 5 Thierry Picq Managing Consultant Microsoft Services France

2 Lidentité du Conseil Microsoft Rôle davant-garde Catalyseur du changement chez nos clients pour lemploi des technologies Microsoft et ladoption des nouvelles versions Effet de levier maximum en début de cycle de vie des technologies Effacement progressif quand : La technologie est installée dans le compte Le savoir-faire et les compétences sont largement diffusées Assistance aux partenaires mettant laccent sur le transfert de compétences et de connaissances sur les technologies Microsoft Cadres méthodologiques éprouvés : Microsoft Solutions Framework (MSF) et Microsoft Operations Framework (MOF) Capacité dengagement sur les projets stratégiques Partenaires Support Risque Adoption des Technologies Conseil Microsoft

3 Architecture type Serveur FE Mailbox Server Internet (Réseaux cellulaires : GSM/GPRS) Filaire Sans fil Légende Wireless PDA Smart phone Wi-Fi PDA Wi-Fi Smart phone Internet sans fil (802.11x - hotspots) Wi-Fi PDA Wi-Fi Smart phone Wifi Interne Frontières de lEntreprise DMZ Accès unique nom du server = monentreprise.com Accès unique nom du server = monentreprise.com Pas de compte spécifique Pas de compte spécifique Internet Haut débit (VPN, …) Internet Accès Distants (RAS) POP FAI

4 Conclusion matinale (hors terminaux): Serveur FE Mailbox Server Internet (Réseaux cellulaires : GSM/GPRS) Filaire Sans fil Légende Wireless PDA Smart phone Wi-Fi PDA Wi-Fi Smart phone Internet sans fil (802.11x - hotspots) Wi-Fi PDA Wi-Fi Smart phone Wifi Interne Frontières de lEntreprise DMZ Accès unique nom du server = monentreprise.com Accès unique nom du server = monentreprise.com Internet Haut débit (VPN, …) Internet POP FAI SSL 128 bits Analyse des flux Segmentation Je maîtrise et sécurise les communications de bout en bout en maintenant un niveau de sécurité élévé

5 Ce matin nous avons traité la sécurité des voies de communications et le contrôle des points daccès mais: Il faut sécuriser les terminaux en eux-même Il faut gérer les données sur ces terminaux Il est nécessaire dadministrer ces terminaux

6 Terminaux Risques de sécurité : Les terminaux mobiles doivent être considérés comme des ordinateurs à part entière…Entreprise Opérateurs Mobiles et Fixes WLAN WAN PAN Infrared LAN WAN Applications Disposez-vous dune politique de sécurité pour les terminaux mobiles ? Les ordinateurs portables, mais aussi les autres…?

7 Analyse des risques Des défis pour tous… Opérateur Mobile Utilisateur final Entreprise Protection des données de lentreprise Sécurité et intégrité du réseau interne Gestion des terminaux Gestion des applications Simplicité dusage Diversité et richesse des applications Capacité à développer des applications complexes Sécurité Intégrité et disponibilité du réseau Opérateur Gestion des terminaux Branding Déployer des applications et des services à valeur ajoutée Minimiser les coûts de support Intégrité et disponibilité du terminal, prévention des malware Voix et accès aux données sont des besoins communs

8 Sécurité au niveau du terminal Modèle de sécurité Modèle de sécurité Périmètre Périmètre Protection des données Protection des données Sécurité du réseau (PAN) Sécurité du réseau (PAN) Sécurité matérielle Sécurité matérielle Sachant que sur un terminal mobile, lergonomie est fondamentale: Usage avec seule main, en mouvement, clavier limité Pas de Smartcard, pas de clefs USB, la biométrie peu répandue, etc. Et que Les utilisateurs vont naturellement rejeter ou contourner des mesures de sécurité limitant ce quils souhaitent faire. …ou si ces mesures représentent «trop de travail » Ne jamais sous estimer la « créativité » des utilisateurs…

9 Première défense contre les programmes malveillants Combinaison de la signature électronique du code et la configuration du terminal Les terminaux sont configurés selon deux modes: 1-tier2-tier La signature défini les permissions pour une application Ces applications/codes peuvent être signés par Mobile2Market (M2M): programme de signature Les Opérateurs Mobiles Les Entreprises La révocation de code signé est plus efficace Modèle de sécurité de Windows Mobile Contrôle dexécution du code (Code Execution Control)

10 Trusted (Privileged) Code Group Accès complet au terminal: toutes les APIs, la base de registre, le système de fichiers, les interfaces matérielles, le Kernel mode Normal (Unprivileged) Code Group Accès limité au terminal: la plupart des APIs, des segments de la base de registre et du système de fichiers ne sont accessibles quen lecture seule. Ce mode doit être celui privilégié pour la conception et la réalisation dapplications Blocked Code Group Les applications ne peuvent fonctionner Ces Code Groups sont assignés lors du chargement du code, basés sur la signature de ce dernier. Modèle de sécurité de Windows Mobile Code Groups (CG)

11 Terminologie décrivant les permissions associées au code Terminaux 2-tier Fonctionne en Code Groups Trusted et Normal Uniquement les Smartphone (configuration par défaut) Terminaux 1-tier Toutes les applications fonctionnent avec le Code GroupTrusted Le code Normal est associé au code Trusted Smartphone et PocketPC PocketPC (configuration par défaut) Configuré via des politiques de sécurité Modèle de sécurité de Windows Mobile Contrôle déxecution: terminaux 1-tier ou 2-tier

12 Modèle de sécurité de Windows Mobile Définir léquilibreAccessibilité Applications variées Applications variées Plus simple pour les utilisateurs Plus simple pour les utilisateurs Sécurité Sécurité Protection renforcée contre les codes malveillants Protection renforcée contre les codes malveillants Accroissement de la gestion Accroissement de la gestion Pas de sécurité Pas de sécurité Notification Signé par tierce partie Verrouillé Toutes les applications fonctionnent Utilisateur notifié pour lexécution de code non signé ou inconnu Le code doit être signé pour sexécuter Le code doit être signé pour sexécuter. Signature contrôlée CG: Trusted CG: Trusted, Normal ou Blocked

13 Modèle de sécurité de Windows Mobile Recommendations Le modèle SANS sécurité nest PAS recommandé ! Qui Configuration du terminal SécuritéISVsSécurité élevée LORG Verrouillé Signatures OM, Entreprise, OEM uniquement Expérience complexe S/MORG Signature par tierce partie Signature M2M acceptée, non signé bloqué Favorise la communauté des développeurs Opérateur Mobile (Default)Smartphone 2-tier notification Pocket PC 1-tier notification Notification: code inconnu, utilisateur prévenu

14 Démonstration Code Groups

15 Sécurité du périmètre Mots de passe: PocketPC: 4 digit pin, mots de passe forts Smartphone: > 4 digit pin Mots de passe stockés dans une partie sécurisée (privilégiée) de la Registry Accroissement exponentiel des délais en cas de mauvais mot de passe Partenariat Activesync protégé par mot de passe Protocoles: PAP, CHAP, MS-CHAP, TLS, NTLM support SSL 3.0 Exchange ActiveSync & IE Mobile Local Authentication Subsystem (LASS): mécanismes flexibles dintégration de Plug-ins dauthentification (Local Authentication Plug-ins / LAP) Biométrie Potentiellement très pratique Identifiant ou authentifiant? HP iPAQ série 5400 avec lecteur dempreintes digitales Lecteurs de cartes à puces Applications Accès réseau Solutions tierces Pointsec Software

16 Protection des données Plus exposé quun PC traditionnel Intégration des services de crypto pour les applications Certification FIPS (WM 5.0) S/MIME (WM 5.0) 128-bit Cryptographic services: Crypto API v2 Signature de code (limite linstallation : SP) API Anti-virus: ces virus peuvent exister et se propager (cf. Cabir (fin 2004) et Commwarrior.A (mars 2005) pour Symbian se propageant via une combinaison de Bluetooth et MMS) A ce jour nous ne connaissons pas de virus pouvant se propager dune plateforme PC vers un PDA/Smarphone. SQL-CE fourni un chiffrement 128-bits (PPC uniquement) Nombreux outils tiers pour chiffrer les données: Computer Associates; F-Secure; McAfee; Symantec; SOFTWIN; Trend Micro; Bluefire Security Technologies; Check Point VPN-1 SecureClient.

17 Sécurité réseau Client VPN intégré PPTP, L2TP, L2TP/IPSEC (PSK, ou certificat) IPSEC: le mode tunnel nécessite un client tiers Wireless WEP, 802.1X (EAP-TLS, PEAP), WPA (incluant PSK) Secure Browsing: HTTP (SSL), WAP (WTLS), Zones de Sécurité Certification FIPS OTA device management security: OMA DM provision settings & certs Windows CE 5.0 : Stockage persistant Offres tierces: VPN Checkpoint, Bluefire, Funk Software, Certicom Movian VPN (OEM uniquement) Authentification à deux facteurs RSA SecureID (supporte la synchronisation Exchange EAS) Sécurité du PAN : Bluetooth Bluesnarfing: Vol de données personnelles via une connexion Bluetooth. Virus Recommandation de Microsoft aux OEM de désactiver BT par défaut.

18 Windows CE Windows XP Embedded Windows Mobile Sécurité: gestion des terminaux System Management Server 2003 feature pack XP Embedded Advanced Client Device Management Feature Pack CE Device Management Client Inventaire matériel & logiciel Collecte de fichiers Distribution logiciel Scripts Gestion des configurations (mots de passe, etc.) Distribution automatique via le PC (sous SMS)

19 Sécurité : Credant Mobile Guardian- Enterprise Edition Intégration AD et groupes Gestion des mots de passe, synchronisation PC, chiffrement, Firewall, autorisations et accès Logging Bluefire Security Logging Firewall et politiques de mots de passe Gestion de bout en bout Afaria & Extended Systems (Sybase), Intellisync, JP Mobile Exchange 2003 SP2 Sécurité Support S/MIME, Certification FIPS Centralisation de la sécurité des terminaux Garantie dapplication des politiques de sécurité: PIN code (complexité, longueur), effacement des données après X tentatives, impossible de synchroniser si les politiques ne sont pas suivies Possibilité de forcer une mise à jour régulière des politiques de sécurité Formatage à distance Intégration des certificats x509 Fonctionnel Direct Push Technology: AUTD sans SMS, indépendant du média de connexion, recherche dans la GAL, Synchronisation des Taches, etc… Sécurité: gestion des terminaux

20 Gestion distante des terminaux et politiques de sécurité

21 Réinitialisation à distance Remarque: Réinitialisation complète du terminal uniquement (ne concerne pas le stockage amovible) Géré par un outil Web (IIS 6 nécessaire) Peut être délégué au centre de support Historique (Transaction log) Microsoft Exchange ActiveSync Mobile Web Administration tool : D145-4DBF-A2CC-E0B4C &displaylang=en D145-4DBF-A2CC-E0B4C &displaylang=en D145-4DBF-A2CC-E0B4C &displaylang=en

22 Démonstration Application de politiques de sécurité avec Exchange 2003 SP2

23 Conclusion : Serveur FE Mailbox Server Internet (Réseaux cellulaires : GSM/GPRS) Filaire Sans fil Légende Wireless PDA Smart phone Wi-Fi PDA Wi-Fi Smart phone Internet sans fil (802.11x - hotspots) Wi-Fi PDA Wi-Fi Smart phone Wifi Interne Frontières de lEntreprise DMZ Accès unique nom du server = monentreprise.com Accès unique nom du server = monentreprise.com Internet Haut débit (VPN, …) Internet POP FAI SSL 128 bits Analyse des flux clients & serveurs Segmentation Je peux capitaliser sur mes investissements pour gagner en productivité tout en restant sécurisé et en maîtrisant les coûts dans un environnement ouvert …

24 Microsoft France 18, avenue du Québec Courtaboeuf Cedex


Télécharger ppt "Sécurité des terminaux Windows Mobile 5 Thierry Picq Managing Consultant Microsoft Services France."

Présentations similaires


Annonces Google