Contrôle de compte utilisateur UAC 3/31/2017 6:24 AM Contrôle de compte utilisateur UAC Pascal Sauliere Consultant Principal Sécurité Microsoft France Cyril Voisin Chef de programme Sécurité Microsoft France https://blogs.technet.com/voy © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Sommaire Objectif Principes Définitions 3/31/2017 6:24 AM Sommaire Objectif Principes Définitions Meilleure expérience des utilisateurs standards Modes et modèle d’élévation Utilisateur standard Administrateur protégé Configuration Compatibilité Virtualisation Shims Contrôle d’intégrité obligatoire (MIC,UIPI) Manifestes Conseils Synthèse © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

UAC (User Account Control) 3/31/2017 6:24 AM UAC (User Account Control) Principe de moindre privilège : classique en sécurité Objectif : un système qui marche pour des utilisateurs standards © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Points douloureux Virus et spywares 3/31/2017 6:24 AM Points douloureux Virus et spywares Les virus et spywares peuvent endommager plus le système s’ils s’exécutent avec des privilèges élevés En entreprise, les utilisateurs ayant des privilèges élevés peuvent compromettre l’ensemble du SI Des applications nécessitent des privilèges élevés, parfois non justifiés La sécurité du système doit être relâchée pour ces applications Certaines tâches nécessitent des privilèges élevés Difficile de déployer certaines applications sans compromettre la sécurité du système Des scénarios comme la mobilité ne fonctionnent pas © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Moindre privilège dans Vista 3/31/2017 6:24 AM Moindre privilège dans Vista Permettre aux entreprises de déployer un poste de travail plus sécurisé et gérable, et permettre un contrôle parental à la maison Assurer que les utilisateurs peuvent effectuer toutes les tâches courantes Fournir une élévation de privilège simple et sécurisée pour l’installation, la désinstallation et les tâches administratives Protéger les tâches administratives des applications de l’utilisateur © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/31/2017 6:24 AM Principes d’UAC Tous les utilisateurs s’exécutent comme des utilisateurs standards même s’ils sont administrateurs Tâches courantes revues pour fonctionner en tant qu’utilisateur standard Ne concerne que le logon interactif Les administrateurs n’utilisent leurs privilèges que pour les tâches ou applications administratives L’utilisateur fournit un consentement explicite avant d’utiliser des privilèges élevés Haute compatibilité des applications Les installateurs d’applications sont détectés Les applications nécessitant des privilèges « admin » peuvent être marquées comme telles © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Définitions Utilisateur Administrateur 3/31/2017 6:24 AM Définitions Utilisateur Compte n’appartenant pas au groupe local Administrateurs Ne peut pas effectuer des changements sur le système complet (à quelques exceptions près comme les paramètres d’affichage) Utilisateur à moindre privilège (LUA) ou Utilisateur Standard Administrateur Compte appartenant au groupe local Administrateurs (ou à Certificate Administrators, Enterprise Administrators, Schema Administrators…) ou ayant certains privilèges comme Backup, Restore, Debug… Par défaut les mêmes privilèges qu’un Utilisateur, mais a la possibilité de les élever pour avoir un accès complet à la machine Administrateur protégé (PA) © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Meilleure expérience des utilisateurs standards 3/31/2017 6:24 AM Meilleure expérience des utilisateurs standards Corriger/supprimer les contrôles administratifs inappropriés Exemple typique : l’horloge système / calendrier Ajout d’imprimante (dont le pilote est installé sur la machine ou autorisé par l’administrateur par stratégie de groupe), d’autres périphériques, changement de fuseau horaire, défragmenteur, options d’alimentation, ajout d’une clé WEP/WPA, configuration d’un VPN, installation d’ActiveX de sites approuvés par l’administrateur, installation de mises à jour Windows critiques … Cacher certains éléments de l’interface si l’utilisateur n’est pas administrateur Utilisateur standard par défaut lors de la création Bouclier pour identifier les opérations « admin » © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Demande d’élévation de privilèges 3/31/2017 6:24 AM Demande d’élévation de privilèges © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Modes d’élévation Mode Approbation (Demande de consentement) 3/31/2017 6:24 AM Modes d’élévation Mode Approbation (Demande de consentement) Mode dans lequel il est demandé son consentement à l’Administrateur avant d’effectuer une tâche administrative –sauf pour le compte Administrateur intégré (RID == 500) Mode saisie (Demande d’informations d’identification) Demande d’intervention d’un administrateur (authentification : nom/mot de passe, carte à puce…) Lorsqu’un Utilisateur effectue une tâche administrative © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Modèle d’élévation Privilèges d’administrateur Compte administrateur Comment demander élévation: Marquage application Détection installation Correctif compatibilité (shim) Assistant compatibilité Exécuter en tant qu’administrateur Compte administrateur Privilèges d’utilisateur standard (par défaut) Compte utilisateur standard

Élévation de privilège 3/31/2017 6:24 AM Élévation de privilège Systématiquement, par les propriétés de l’exécutable : À la demande : © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Interface utilisateur PA Application système Application non signée Application signée

Utilisateur standard (Toby) sous Windows Vista 3/31/2017 6:24 AM Démo Utilisateur standard (Toby) sous Windows Vista © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

2 jetons pour un administrateur 3/31/2017 6:24 AM 2 jetons pour un administrateur Jeton filtré par défaut Privilèges d’un utilisateur standard Jeton complet Privilèges d’un administrateur Consentement par défaut © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Administrateur (Abby) sous Windows Vista 3/31/2017 6:24 AM Démo Administrateur (Abby) sous Windows Vista © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/31/2017 6:24 AM Avertissement Windows Vista permet à un administrateur de faire une utilisation plus raisonnable de ses privilèges mais un administrateur demeure un administrateur L’objectif global N’est PAS de permettre à plus d’utilisateurs d’être administrateurs mais bien l’inverse © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/31/2017 6:24 AM Configuration d’UAC Par stratégie de groupe (Stratégies locales / Options de sécurité) 9 paramètres © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Démo Configuration d’UAC 3/31/2017 6:24 AM © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/31/2017 6:24 AM Compatibilité Problème : de nombreuses applications pourraient parfaitement fonctionner en utilisateur standard mais stockent sans raison des infos dans HKLM\Software ou %ProgramFiles% Emplacement globaux (donc accessibles uniquement aux administrateurs) mais informations par utilisateur et non globales La solution : virtualisation Écriture : redirige les écritures « par machine » (disque, registre) vers le profil utilisateur Program Files, HKLM Lecture : essaie de lire depuis le profil utilisateur en premier © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/31/2017 6:24 AM Virtualisation Virtualisation des processus dont les opérations ont pour origine la session interactive (pas pour le partage de fichiers par ex.) SAUF SI Ils sont 64 bits Ils ont un requestedExecutionLevel dans leur manifeste (cas de la plupart des exécutables de Windows Vista) Ils s’exécutent avec des privilèges admin © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle du comportement par le manifeste Windows Vista introduit une nouvelle clé requestedElevationLevel : asInvoker : s’exécute avec les droits de l’utilisateur highestAvailable : si utilisateur standard, ne demande rien. Si administrateur, demande élévation requireAdministrator : demande toujours élévation <description>Windows Firewall Settings</description> <trustInfo xmlns="urn:schemas-microsoft-com:asm.v3"> <security> <requestedPrivileges> <requestedExecutionLevel level="requireAdministrator" uiAccess="false"/> </requestedPrivileges> </security> </trustInfo>

Virtualisation Désactivable par stratégie de groupe 3/31/2017 6:24 AM Virtualisation Désactivable par stratégie de groupe Chemins virtualisés Système de fichiers %ProgramFiles% (\Program Files) %AllUsersProfile% (\ProgramData – ce qui était dans \Documents and Settings\All Users) %SystemRoot% (\Windows) %SystemRoot%\System32 (\Windows\System32) Registre HKLM\Software © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Virtualisation Racine virtuelle par utilisateur Exceptions: 3/31/2017 6:24 AM Virtualisation Exceptions: Système de fichiers Fichiers avec des extensions d’exécutables (.exe, .bat, .vbs, .scr, etc) Ajout d’exceptions dans HKLM\System\CurrentControlSet\Services\Luafv\Parameters\ExcludedExtensionsAdd Registre HKLM\Software\Microsoft\Windows HMLM\Software\Microsoft\Windows NT Autres clés sous Microsoft Racine virtuelle par utilisateur %UserProfile%\AppData\Local\VirtualStore Remarque : les fichiers virtualisés ne font pas partie des profils itinérants HKEY_CURRENT_USER\Software\Classes\VirtualStore © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Visualiser les fichiers virtualisés Bouton Fichiers de compatibilité dans l’Explorateur

Démo Virtualisation 3/31/2017 6:24 AM © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Compatibilité Certaines applications ont besoin de davantage d’aide pour tourner en tant qu’utilisateur standard Windows Vista inclut certaines corrections (shims) en standard Les utilisateurs peuvent en définir d’autres comme : ForceAdminAccess : pour les requêtes d’appartenance au groupe Administrateurs VirtualizeDeleteFile : pour la suppression d’un fichier global LocalMappedObject : remplace des objets globaux par des objets locaux VirtualizeHKCRLite, VirtualizeRegisterTypeLib : détourne l’enregistrement global d’objets COM

Corrections (shims) Utiliser Standard User Analyzer (SUA) pour analyser les applications qui ne fonctionnent par comme utilisateur standard Téléchargement gratuit Ne voit pas forcément toutes les opérations admin LUA Buglight Assigner les shims avec le Compatibility Administrator Partie du Application Compatibility Toolkit 5.0 Crée une base de shims (.sdb) que l’on peut installer manuellement ou avec sdbinst.exe

Isolation des processus élevés Problème : les processus élevés s’exécutent sur le même bureau que les processus LUA Solution : Vista isole les fenêtres des processus élevés User Interface Privilege Isolation (UIPI) Empêche les malwares de piloter les processus élevés N’empêche pas les applications d’accessibilité (ex : clavier virtuel) <requestedExecutionLevel level="asInvoker“ uiAccess="true"/> Signature Emplacement sécurisé (Program Files, Windows\System32)

Niveaux d’intégrité Niveaux d’intégrité définis par des SIDs : Low S-1-16-4096 (0x1000) Medium S-1-16-8192 (0x2000) High S-1-16-12288 (0x3000) System S-1-16-16384 (0x4000) Objets : No-Write-Up – un processus de faible intégrité ne peut pas modifier un objet d’intégrité supérieure Processus : No-Write-Up + No-Read-Up – pour éviter les fuites d’informations (mots de passe…) Interface graphique : un processus de faible intégrité ne peut pas envoyer de message à une fenêtre d’un processus d’intégrité supérieure (Shatter attacks)

Accès à des objets ou des processus High High Medium Medium Medium IL Process Low Low Low IL Process Lecture Ecriture

Isolation des processus 3/31/2017 6:24 AM Isolation des processus Niveau d’intégrité Processus à différents niveaux sur le même bureau Le niveau de privilège (admin, LUA) détermine le niveau d’intégrité Intégrité ~ confiance Isole les interactions spécifiques entre les niveaux de privilège Bas ne peut pas écrire dans haut Blocage à la frontière des niveaux d’intégrité Attaques Shatter Injection de DLL Compatibilité applicative inchangée au même niveau d’intégrité Service Système System CPL Console AV Admin Word PPT Utilisateur/LUA IE Limité exe téléchargé © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Isolation de processus 3/31/2017 6:24 AM Isolation de processus Met en place une frontière de séparation des privilèges entre utilisateur LUA et administrateur protégé PA qui empêche l’élévation de privilèges interprocessus La vérification est faite à chaque fois qu’un processus utilise un objet Un processus peut démarrer un enfant avec un IL inférieur Privilège pour lancer dans un IL supérieur : SeRelabelPrivilege © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/31/2017 6:24 AM Démo UIPI © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Programme Logo Windows Vista Inclut le respect d’UAC Manifeste sur chaque .EXE <requestedExecutionLevel level="asInvoker|highestAvailable|requireAdministrator" uiAccess="true|false"/> Séparation des tâches administratives Programme principal pas admin (sauf autorisation demandée à MS; ex: outil système) Ne pas utiliser uiAccess=True (sauf autorisation; ex : outil d’accessibilité) Etc. Signature des exécutables (exe, dll, ocx, sys, cpl, drv, scr) Signature des pilotes Respect vie privée (cf Anti-Spyware Coalition) … © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Conseils – en entreprise 3/31/2017 6:24 AM Conseils – en entreprise Bon Mieux Meilleur Mode Approbation de l’administrateur – pour ceux qui en ont réellement besoin pour : leur rôle problèmes de compatibilité applicative non résolus Utilisateurs standards Demande d’informations d’identification pour les administrateurs Ctrl+Alt+Suppr pour l’élévation Activation de DEP pour IE (nécessite tests des add-ons) Pas d’élévation pour les utilisateurs standards – tâches administratives par : stratégies de groupe ouverture session locale ou bureau à distance © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Pour sécuriser encore plus 3/31/2017 6:24 AM Pour sécuriser encore plus © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/31/2017 6:24 AM Synthèse UAC : rendre possible l’utilisation de comptes utilisateurs standards Protéger le système Protéger les autres utilisateurs sur le système Améliorer la compatibilité des applications avec le mode utilisateur standard (virtualisation) Fournir une méthode sécurisée pour exécuter certaines applications dans un contexte de privilèges élevés L’élévation est un moyen pratique, pas une frontière de sécurité Isoler les processus : niveaux d’intégrité, MIC/UIPI 38 © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Références Blog UAC http://blogs.msdn.com/uac/ 3/31/2017 6:24 AM Références Blog UAC http://blogs.msdn.com/uac/ Application compatibility with Windows Vista http://technet.microsoft.com/en-us/windowsvista/aa905066 Understanding and configuring UAC in Windows Vista http://technet.microsoft.com/en-us/windowsvista/aa905117 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/31/2017 6:24 AM © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.