Protection des données dans

Slides:



Advertisements
Présentations similaires
OmniTouch™ 8600 My IC Mobile pour IPhone
Advertisements

Mars 2006 OLMEK Développé par Item Centric, Olmek est une solution novatrice de protection des données informatiques, garantissant un niveau de confidentialité
Les technologies décisionnelles et le portail
Les Web Services Schéma Directeur des Espaces numériques de Travail
Module 5 : Implémentation de l'impression
Cyril VOISIN Chef de programme Sécurité Microsoft France
Botnet, défense en profondeur
Comment Protéger les bases SQL avec System Center Data Protection Manager 2007.
Quelle stratégie adopter pour la recherche en Entreprise ?
D/ Partage et permission NTFS
Serveur jeu Le serveur fait partie d'un logiciel de jeu en ligne multi joueur en architecture client serveur. Il répond à des demandes.
Personnalisation des sites SharePoint avec SharePoint Designer 2007
Microsoft Office Groove Le contexte Une utilisation des postes de travail en très grande évolution chez les professionnels. Des lieux de travail.
Implémentation de la gestion de réseau dans Windows 2000 et plus
Conception de la sécurité pour un réseau Microsoft
Vue d'ensemble Implémentation de la sécurité IPSec
Vue d'ensemble Création de comptes d'utilisateurs
La politique de Sécurité
Collège Anatole France – Cadillac Mise à jour: Questions sur cette charte à envoyer à: CHARTE INFORMATIQUE SIMPLIFIEE.
Les réseaux informatiques
Août 2010 Présentation de NetIS Une plate-forme complète de publication électronique.
Plateforme de gestion de données de capteurs
ManageEngine ADSelfService Plus
SECURITE DU SYSTEME D’INFORMATION (SSI)
Restriction daccès aux logiciels et aux matériels Problème de licence Nicolas CHABANOLES Matière : SRR Lieu: UFRIMA.
Module 1 : Préparation de l'administration d'un serveur
CryptoGraphy
Amélioration de la sécurité des données à l'aide de SQL Server 2005
Quel serveur pour vous?.
Section 4 : Paiement, sécurité et certifications des sites marchands
Module 6 : Gestion de données à l'aide du système de fichiers NTFS
Configuration de Windows Server 2008 Active Directory
Module 6 : Gestion de données à l'aide du système de fichiers NTFS
Les 10 choses que vous devez savoir sur Windows Authentique Notice légale Les informations de ce document contiennent les explications de Microsoft Corporation.
Les relations clients - serveurs
WINDOWS Les Versions Serveurs
Module 4 : Création et gestion de comptes d'utilisateur
Création et gestion de comptes d'utilisateur
Présentation 1. Consumer/Soho Small BusinessMidsize Business CorporateEnterprise Windows Home Server 1-4 employés 1-4 PCs 1-4 employés 1-4 PCs 5-49 employés.
Module 8 : Maintenance des logiciels à l'aide des services SUS
Module 3 : Création d'un domaine Windows 2000
Module 7 : Accès aux ressources disque
Assurer la confidentialité de vos documents
Actualité messagerie Fabrice Meillon. Exchange Outils sur le Web mis à disposition Storage sizing assistance SMTP configuration diagnosis Best.
Module 1 : Installation de Microsoft Windows XP Professionnel
De A à Z Fabrice Meillon & Stanislas Quastana, CISSP
Module 5 : Configuration et gestion des systèmes de fichiers
Nouvelles technologies de système de fichiers dans Microsoft Windows 2000 Salim Shaker Ingénieur de support technique Support technique serveur Microsoft.
Le protocole d’authentification
Sécurité Les Virus Logiciels non sollicités et réalisant des opérations malveillantes ou destructrices Typologie –D’application :introduit par recopie.
Expose sur « logiciel teamviewer »
Erreurs commises couramment dans le domaine de la sécurité 1.Sensibilisation aux questions de sécurité 2.Suivi des incidents 3.Gestion déficiente des.
GESTION DES UTILISATEURS ET DES GROUPES
Windows 2003 Server Modification du mode de domaine
WELCOME. COPYRIGHT © 2012 ALCATEL-LUCENT ENTERPRISE. ALL RIGHTS RESERVED. Solutions de communications pour PMEs OmniTouch™ 8600 My IC Mobile pour IPhone.
Module 3 : Création d'un domaine Windows 2000
AFPA CRETEIL 14-1 Windows NT Environnement des utilisateurs Chapitre 14.
Citrix ® Presentation Server 4.0 : Administration Module 9 : Déploiement d'applications.
Module 2 : Planification de l'installation de SQL Server
Sécurité des Web Services
1 Chesné Pierre
1 Silverlight & XNA Développeurs, à vous le mobile! Pierre Cauchois - Microsoft France Relations avec les développeurs (mobiles et embarqués)
Concrètement Pascal Sauliere
Prévention de désastre et récupération Shadow copies (clichés instantanés) Backup/Restore Advanced Boot Options System Repair.
Les identités numériques dans un monde connecté Digicloud 2016 – Marrakech Ouadie TALHANI Consultant Senior Sécurité Tél.: +336.
Chapitre 8 Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats Module S43.
Installation du PGI – CEGID
VEILLE TECHNOLOGIQU E LE CLOUD R. Mars al A. Guel louz B. Covo lo C. Eise nhauer G. Monn el.
Chapitre 5 Configuration et gestion des systèmes de fichiers Module S41.
Chapitre 3 Administration des accès aux ressources
Transcription de la présentation:

Protection des données dans Stéphane SAUNIER TSP Sécurité Microsoft France stephsau@microsoft.com

Sommaire Les menaces Aperçu de Bitlocker Drive Encryption Aperçu d’EFS Aperçu de RMS et des nouveauté du produit sous Vista Positionnement des trois technologies

Menaces pesant sur l’information Internes ou externes Accidentelles Intentionnelles Ciblées Perte due à une négligence Compromission volontaire de données Vol d’un bien pour les données qu’il contient 3

Conformité légale et réglementaire La perte d’informations est coûteuse La perte d’information, que ce soit sous forme de perte ou de fuite, est coûteuse à plusieurs niveaux Financier Le département de la justice aux Etats-Unis a estimé que le vol de propriété intellectuelle avait coûté 250 milliards de $ aux entreprises en 2004 Perte de revenu, de capitalisation boursière, d’avantage compétitif Conformité légale et réglementaire Augmentation de la réglementation : SOX, LSF, Bâle 2 Amener une société à la conformité réglementaire peut être complexe et coûteux La non conformité peut conduire à des amendes significatives Image et Crédibilité La fuite de mails confidentiels peut être embarrassante La transfert non intentionnel d’informations sensibles peut affecter de manière significative l’image et la crédibilité d’une entreprise

Pourquoi ces technologies ? “After virus infections, businesses report unintended forwarding of e-mails and loss of mobile devices more frequently than they do any other security breach” Jupiter Research Report, 2004

Protection de l’information Les besoins métier Les documents doivent être protégés quel que soit l’endroit où ils voyagent Les données sur les partages doivent être chiffrées pour les protéger contre des accès non autorisés Les biens des entreprises tels que les PC portables ou les serveurs en agence doivent être protégés contre une compromission physique Solution = RMS, EFS, BitLocker™ Définition d’une politique de sécurité et obligation de respecter cette politique faite au niveau de la plateforme (inclusion du client RMS) Chiffrement des fichiers par utilisateur (EFS) Chiffrement de disque reposant sur des mécanismes matériels (Bitlocker Drive Encryption)

BitLocker™ Drive Encryption 7

Une grande multinationale qui souhaite garder l’anonymat perd en moyenne un ordinateur portable par jour ouvré dans les taxis d’une seule grande ville américaine

Description de Bitlocker™ Drive Encryption « BitLocker™ Drive Encryption vous fournit une meilleure protection de vos systèmes Windows Vista, même quand ces systèmes sont dans des mains non autorisées ou exécutent un système d’exploitation différent. BDE atteint ce résultat en interdisant à un voleur qui démarre un autre système d’exploitation ou utilise un outil de hacking spécifique de casser les protections du système et des fichiers ou même de visualiser les fichiers constitutifs du système lui-même »

Conception de la solution Bitlocker™ Besoin d’une solution qui Se trouve en dessous de Windows A des clés disponibles au démarrage Impossibilité de demander à l’utilisateur de se connecter pour fonctionner Sécurise les données système Sécurise les données utilisateur Sécurise la base de registre Fonctionne de manière transparente avec la plateforme (intégrité du code) Sécurise les secrets « racine » Protège contre les attaques en mode déconnecté Soit très facile à utiliser Solution Chiffrer le disque entier (presque) Protéger la clé de chiffrement en la « scellant » au moyen d’un Trusted Platform Module (TPM) au bénéfice unique d’un loader autorisé Plus d’autres options (voir plus loin) Seuls les loaders autorisés peuvent récupérer la clé de chiffrement du volume

De quoi Bitlocker™ vous protège-t-il ? Niveaux de protection Un rappel préalable : la sécurité n’est jamais absolue… BDE est utilisable par tous Depuis l’utilisateur standard … Portable attaqué non ciblé …au « super paranoïaque »…. Portable attaqué ciblé BDE protège contre les attaques logicielles en mode déconnecté Lorsque le système à démarré le déchiffrement des bloques de données de la partition est transparente. Options de configuration Equilibre entre la facilité d’utilisation et la sécurité TPM seul – amélioration de la protection, très peu d’impact sur l’utilisateur Ajout d’un PIN – permet d’adresser des attaques matérielles sérieuses ; l’utilisateur doit se souvenir de quelque chose Clé USB seule (sans TPM) – bonne protection mais le maillon faible devient la Clé Clé USB et TPM

Facilité d’utilisation et sécurité : un équilibre à trouver BDE offre un large spectre de protection permettant de trouver un équilibre entre la facilité d’utilisation et le profil des menaces contre lesquelles on cherche à se protéger *******

Pourquoi utiliser un TPM ? Les plateformes dignes de confiance utilisent des racines de confiance Un TPM est la mise en œuvre d’une racine de confiance Une racine de confiance implémentée en hardware a des avantages spécifiques Le logiciel peut être trompé par le logiciel Il est difficile d’enraciner la confiance dans un logiciel qui doit se valider lui-même Le matériel peut être rendu résistant aux attaques Certification possible Le logiciel et le matériel ensemble peuvent mieux protéger les secrets « racine » que le logiciel seul

Authentification du logiciel Résulte de la même étape simple répétée plusieurs fois Le module n « mesure » (hash) le module n+1 Le module n enregistre (fonction « extend ») le hash du module n+1 dans le TPM Le module n transfère le contrôle au module n+1 On « nettoie » et on recommence A n’importe quel moment, le TPM contient une « mesure » de tous les logiciels qui ont été chargés jusqu’alors On ne peut desceller le contenu que si ces informations sont « correctes »

Architecture de Secure Startup SRTM des premiers composants de l’amorçage

Architecture de Secure Startup SRTM des premiers composants de l’amorçage

L’organisation du disque et le stockage des clés Où sont les clés de chiffrement ? SRK (Storage Root Key) contenu dans le TPM La SRK chiffre la VEK (Volume Encryption Key) protégé par TPM/PIN/Dongle La VEK est stockée (chiffrée par la SRK) sur le disque dur dans la partition de boot La partition Windows contient Le système d’exploitation chiffré Le fichier de pagination chiffré Les fichiers temporaires chiffrés Les donnée chiffrés Le fichier d’hibernation chiffré 1 VEK 2 Windows 3 Boot La partition de Boot contient : MBR, Loader, utilitaires de boot (Non chiffrée, petite)

La valeur apportée par Bitlocker™ BDE améliore la sécurité de la base de registre, des fichiers de configuration, de pagination et d’hibernation qui sont stockés sur le volume qui est complètement chiffré Le chiffrement du fichier d’hibernation Protège contre les problèmes de sécurité posés par l’hibernation d’un PC portable ayant des documents confidentiels ouverts La destruction de la clé racine permet le redéploiement du hardware existant en toute sécurité en rendant les anciennes données inaccessibles Ce n’est PAS une fonctionnalité accessible pour l’utilisateur final Une récupération (en cas de perte de clé ou d’autre scénarios) est possible pour toute personne disposant d’un téléphone lui permettant d’accéder à son administrateur

Démo Bitlocker : démarrage sécurisé Interface d’administration Visibilité lors d’une attaque deconnectées

EFS 20

EFS (Encrypting File System) Chiffre individuellement chaque fichier Transparent pour l’utilisateur Protège contre les fichiers de données désignés contre les attaques offline Nouveau dans Windows Vista Support de la carte à puce © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Encrypted on-disk data storage Architecture Applications Crypto API LPC communication for all key management support EFS service Win32 layer User mode Kernel mode I/O manager EFS.sys NTFS FSRTL callouts Encrypted on-disk data storage

Les méthodes de chiffrement Deux algorithmes de chiffrement sont utilisés: Le cryptage des données sur disque utilise un algorithme de clé symétrique (DESX) pour générer la FEK (File Encryption Key) Clé sur 56 bits Le chiffrement de la FEK utilise un algorithme de clé asymétrique (RSA) pour générer la DDF (Data Decryption Field), et les DRF (Data Recovery Field) Clé sur 1024 bits L'algorithme de clé asymétrique utilise : La clé publique de l'utilisateur et de chaque agent de recouvrement pour crypter la FEK La clé privée de l'utilisateur et de chaque agent de recouvrement pour décrypter la FEK

Les méthodes de chiffrement Information secrete RNG File Encryption Key (FEK) File encryption (DES) *#$fjda^j u539!3t t389E *&\@ 5e%32\^kd File encryption (AES 256) Vista Data Decryption Field generation (RSA) DDF Clé Publique utilisateur (certificate) Data Recovery Field generation (RSA) DRF Clé publique Agent de recouvrement (certificate)

EFS/SC: le problème Smartcard Private Key Derive a symmetric key AES-256 key Use as Software Private Key (Accelerated) Cache in LSA Use to encrypt FEK RSA mode Mode acceleré Les cartes a puces sont trop lentes pour permettre une utilisation a chaque accès de fichier Utilisation d’un mode acceleré: On derive une clé symetrique depuis la clé privée residant dans la carte a puce. On utilise cette clé pour chiffrer la FEK. Cette clé ne peut etre obtenu qu’en presence de la clé privé sur la carte a puce.

Répertoire destination Limitations Matrice de copie / déplacements de fichiers Opération Fichier source Répertoire destination Résultat Copie/Dépla- cement Crypté Non NTFS Non Crypté Copie/Dépla-cement NTFS non crypté Copie/dépla-cement NTFS crypté

Right Management Service Rappels et evolutions 27

DRM pour l’entreprise et DRM pour les médias 17/3/30 7時52分 Gestion de droits numériques en entreprise (IRM) DRM pour les médias (Windows Media DRM) Contenu Entreprise Documents, email, pages web, etc. Commercial content Musique, films, TV, etc. Authentification Fondée sur l’identité Fondée sur la machine Politique/Règles Politique de l’entreprise Confidentialité Cycle de vie des documents Conformité Règles business Achat Location Souscription © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

17/3/30 7時52分 Que sont RMS et IRM? Rights Management Services (RMS) est une plateforme pour la mise en place de solution de DRM en entreprise telle que décrite précédemment. Supporte le développement de solutions tierces riches au dessus de RMS à l’aide du Software Development Kit (SDK) RMS IRM est un développement que MS Office a effectué sur le socle RMS. © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Caractéristiques des droits RMS Définir qui peut ouvrir, modifier, imprimer, transférer et / ou entreprendre d’autres actions avec les données (possibilité d’utiliser des listes de distribution contenues dans Active Directory) Fixer une date d’expiration sur des messages électroniques ou des documents… … à une date donnée … tous les n jours, en exigeant l’acquisition d’une nouvelle licence Les droits peuvent s appliquer a l aide de Templates

Applications Clientes & Serveurs compatibles RMS 17/3/30 7時52分 Architecture Active Directory Authentication Service Discovery Group Membership SQL Server Configuration data Logging RMS Client RMS Lockbox Client API RMS Server Certification Licensing Templates Applications Clientes & Serveurs compatibles RMS © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Flux de publication RMS 17/3/30 7時52分 Flux de publication RMS L’auteur reçoit des certificats (SPC/RAC/CLC) la première fois qu’il protège des informations. SQL Server Active Directory L’auteur définit un ensemble de droits d’utilisation et de règles pour son fichier. l’application crée une licence de publication (PL) et chiffre le fichier. Serveur RMS L’auteur distribue le fichier. 1 4 Le destinataire ouvre le fichier, l’application appelle le serveur RMS qui vérifie que l’utilisateur est valide (RAC) et fournit une licence d’utilisation (UL). 2 5 3 L’application effectue le rendu du fichier et fait respecter les droits. Auteur Destinataire © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Information Protégée a Création lors de la protection du fichier 17/3/30 7時52分 Information Protégée a Création lors de la protection du fichier Ajouté au fichier lors de l'ouverture par les ayants droits Licence publication Licences utilisation Clé de session Droits pour l'ayant droit Chiffré avec clé publique serveur Chiffré avec la clé publique de l'ayant droit Droits et ayants droits (adresses e-mail) Clé de session Chiffré avec clé publique serveur Contenu du fichier (Texte, Images, méta data, etc…) Chiffré avec la clé publique de l'ayant droit Chiffré avec clé de session, typiquement AES128 Les EUL E-mail (Outlook 2003) sont stockées sur le disque, et non avec les messages © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

IRM/RMS: solution complémentaire 17/3/30 7時52分 IRM/RMS: solution complémentaire Fonctionnalité IRM S/MIME signature S/MIME chiffrement ACLs EFS Identification de l’émetteur  Permissions par utililsateur Contrôle de la lecture non autorisée Chiffrement des contenus Expiration temporelle de l’accès au contenu Expiration liée à l’usage du contenu Contrôle de la possibilité de lire, transmettre, sauvegarder modifier ou imprimer un contenu  1 Elargir la protection au delà du périmètre initial de publication  2 1. Les ACLs peuvent être positionnées sur: modification, écriture ou lecture seule. 2. Pour un fichier copié ou déplacé, le chiffrement EFS est maintenu uniquement si le support de destination est au format NTFS et si le répertoire de destination est identifié comme devant être chiffré. © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Evolutions sur Vista et futures

RMS V2 La partie cliente dans Vista ( plus de téléchargement/distribution necessaire ) RMS V2 Client sera compatible avec RMS Server V1. La partie serveur dans LongHorn Server. Nouveau Rôle Serveur Compatible avec des client V1 Processus d activation simplifie … Mais les évolutions attendues sont ailleurs …

Les scenarios serveur de fichiers Consiste a mixer le meilleur des deux monde. Contrôle périmètrique lorsque le fichier est sur le serveur de fichier (Office Server 2007) Permet l indexation et les scan anti viraux … Application a la volée de droits RMS lors de la récupération d un fichier hors du serveur.

RMS sur Windows Mobile Prévus … Sur Crossbow ( Non de code interne de Windows Mobile 6 ) … Premières disponibilités en 2007 Supportera le mail, mais aussi les documents office supportes par l OS.

La problématique des formats Vista / .Net 3 adresse le problème de couverture des formats non office C’est une approche containeur base sur le format XPS. Une imprimante virtuelle permet a toute application d imprimer dans ce format … Et d y appliquer une protection DRM. Un client XPS permettra de consommer ces protection … De même qu’Office 2007

Démo RMS : Protection d’une image

Positionnement des différentes solutions Scénario RMS EFS BitLockerTM Respect à distance de la politique pour documents Protection du contenu en transit Protection du contenu durant la collaboration Protection locale des fichiers et dossiers sur une machine partagée par plusieurs utilisateurs Protection des fichiers et dossiers distants Protection de portable Serveur dans une filiale Protection de fichiers et dossiers dans un contexte mono utilisateur 41

Sur le meme sujet pendant la conference

© 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.