Cyril VOISIN Chef de programme Sécurité Microsoft France

Slides:



Advertisements
Présentations similaires
OmniTouch™ 8600 My IC Mobile pour IPhone
Advertisements

Les technologies décisionnelles et le portail
Les Web Services Schéma Directeur des Espaces numériques de Travail
GPO Group Policy Object
Sécurisez votre information Quelle sécurité pour votre cabinet comptable?
Hygiène de la messagerie chez Microsoft
Protection du réseau périphérique avec ISA 2004
Botnet, défense en profondeur
Protection de Exchange Server 2003
Client Mac dans un réseau Wifi d’entreprise sécurisé
Gestion de droits numériques en entreprise avec RMS SP1
« Les Mercredis du développement » Introduction Office « 12 » Présenté par Bernard Fedotoff Microsoft Regional Director Agilcom.
Nouveautés pour les développeurs Office System Scott Burmester Responsable des programmes PSPS.
Laccès distant aux bases bibliographiques J. Gutierrez / B.Nominé – Université Nancy 2.
Serveur jeu Le serveur fait partie d'un logiciel de jeu en ligne multi joueur en architecture client serveur. Il répond à des demandes.
Concevoir, déployer et gérer les workflows
Microsoft Office Groove Le contexte Une utilisation des postes de travail en très grande évolution chez les professionnels. Des lieux de travail.
Excel 2007 et les services Excel. Pourquoi Excel ? Outil privilégié danalyse des données issues des bases multidimensionnelles Ergonomie connue des outils.
Implémentation de la gestion de réseau dans Windows 2000 et plus
La sécurité en toute simplicité Solution daccès logique By ADDEXA.
- Couche 7 - Couche application. Sommaire 1)Introduction 1)DNS 1)FTP et TFTP 1)HTTP 1)SNMP 1)SMTP 1)Telnet.
Conception de la sécurité pour un réseau Microsoft
Vue d'ensemble Implémentation de la sécurité IPSec
Vue d'ensemble Création de comptes d'utilisateurs
La politique de Sécurité
Les réseaux informatiques
Août 2010 Présentation de NetIS Une plate-forme complète de publication électronique.
« 1er outil marketing 100 % multi-canal ».
Université de La Rochelle Saisie et Mise à jour des fiches ECTS le 05/12/2001.
Restriction daccès aux logiciels et aux matériels Problème de licence Nicolas CHABANOLES Matière : SRR Lieu: UFRIMA.
Module 1 : Préparation de l'administration d'un serveur
Citrix® Presentation Server 4.0 : Administration
Amélioration de la sécurité des données à l'aide de SQL Server 2005
0 NOUVEAUTÉS LES PREMIERS SCEAUX FRANÇAIS DÉLIVRÉS PAR WEBTRUST FRANCE.
Quel serveur pour vous?.
Le Travail Collaboratif ...
Université de La Rochelle Saisie et Mise à jour des fiches ECTS le 01/12/2000.
Les relations clients - serveurs
WINDOWS Les Versions Serveurs
Présentation 1. Consumer/Soho Small BusinessMidsize Business CorporateEnterprise Windows Home Server 1-4 employés 1-4 PCs 1-4 employés 1-4 PCs 5-49 employés.
Présentation de Windows 2000 Quest-ce que Windows 2000? 2 versions principales : 1.Windows 2000 Professionnel : Système dexploitation client (comme Windows.
Assurer la confidentialité de vos documents
Module 1 : Installation de Microsoft Windows XP Professionnel
Agenda de la journée 10h00 : La place d’ASP.NET dans la plate-forme Microsoft 10h30 : Développement rapide d’applications Web en ASP.NET 12h00 : Construire.
Mise en oeuvre et exploitation
Nouvelles technologies de système de fichiers dans Microsoft Windows 2000 Salim Shaker Ingénieur de support technique Support technique serveur Microsoft.
Etude et mise en place d’un Serveur de messagerie Postfix
Le protocole d’authentification
Sécurité et confidentialité dans Microsoft Internet Explorer William Keener Développement de contenu Global Service Automation Microsoft Corporation.
Erreurs commises couramment dans le domaine de la sécurité 1.Sensibilisation aux questions de sécurité 2.Suivi des incidents 3.Gestion déficiente des.
GESTION DES UTILISATEURS ET DES GROUPES
Windows 2003 Server Modification du mode de domaine
Sage Contact Nouvelle Version 6.00 Dix raisons de choisir La nouvelle version 6.00 de Sage Contact (à partir de janvier 2003)
Module 3 : Création d'un domaine Windows 2000
Soutenance de projet Mise en place d’une solution de reporting.
Communication & Collaboration Gestion de contenu numérique Business Intelligence Solutions Office system 2007 Vos équipes Gestion de Projets Entreprise.
Module 1 : Vue d'ensemble de Microsoft SQL Server
JeanDo Lénard – Fondamentaux de l'Internet – Hetic –30 Janvier 2007 page 1 Fondamentaux de l'Internet (FDI) JeanDo Lénard
Citrix ® Presentation Server 4.0 : Administration Module 9 : Déploiement d'applications.
04/06/2015BATOUMA Narkoy1 An OGSI CredentialManager Service ( Par:Jim Basney, Shiva Shankar Chetan, Feng Qin, Sumin Song, Xiao Tu et Marty Humphrey ) Présentation:
V- Identification des ordinateurs sur le réseau
Fonctionnalité et protocole des couches applicatives
Sommaire  Modifications de l’Active Directory  Présentation de SSL  Configuration de SSL  Tests de fonctionnement ○ Internet Explorer ○ Firefox.
1 Démo SoftGrid. Le Séquenceur SoftGrid Utilisation d’un « packageur » SoftGrid Possibilité de “séquencer” en ligne de commande (CLI) Existence d’outils.
Sécurité des Web Services
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Sécurité sur le GRID Ahmed Beriache (CGG)
Création d’applications distribuées.NET Ziriad Saibi Relation technique éditeurs de logiciels Microsoft France.
Les identités numériques dans un monde connecté Digicloud 2016 – Marrakech Ouadie TALHANI Consultant Senior Sécurité Tél.: +336.
Chapitre 8 Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats Module S43.
Chapitre 9 Configuration de Microsoft Windows XP Professionnel pour fonctionner sur des réseaux Microsoft Module S41.
Transcription de la présentation:

Cyril VOISIN Chef de programme Sécurité Microsoft France Gestion des droits numériques en entreprise Protection persistante de documents Cyril VOISIN Chef de programme Sécurité Microsoft France

Sommaire Les 3 facettes de la sécurité Respect (?) de la politique de sécurité aujourd’hui Limites classiques de la protection des données Gestion de droits numériques en entreprise Windows Rights Management Services (RMS) Scénarios d’utilisation Composants de RMS Fonctionnalités Flux de publication Architecture client Certificats et licences Utilisation sur un portail / démo Implémentation dans Office (IRM) Limites b

Pas simplement des technos…

Les 3 facettes de la sécurité Technologies Windows 2000/XP/2003 Active Directory Service Packs Correctifs IPSEC Kerberos PKI DFS EFS SSL/TLS Clusters Détection d’intrusion SMS MOM ISA Antivirus GPO RMS Archivage Politique d’accès Installation Réparation Gestion des événements Gestion des perfs Gestion du Changement / de la Configuration Processus Restauration Sauvegarde Réponse à Incident Microsoft Operations Framework Evaluation de risques Protection Détection Défense Récupération Gestion Architecture sécurisée Personnes Admin. de l’Entreprise Admin. Du Domaine Service/ Support Développeur Utilisateur

Respect (?) de la politique de sécurité aujourd’hui

Protection des données Les limites des dispositifs classiques Permissions sur les partages de fichiers Portails avec authentification Messagerie électronique avec signature et chiffrement Filtrage des accès réseau par pare-feu (périmètre mouvant) N’empêchent pas les fuites (accidentelles ou volontaires) de documents ou de messages, induisant pertes de revenu, pertes d’avantages concurrentiels, de confiance… Augmenter la protection des données sensibles en contrôlant non seulement l’accès mais aussi l’usage via une technologie facile à déployer et à utiliser

Gestion de droits numériques en entreprise Principe : augmente le respect de la politique de sécurité de l’organisation en protégeant les données sensibles et en y joignant de manière persistante des politiques d’utilisation, qui demeurent avec les données, où qu’elles aillent. Pourquoi gérer les droits au niveau du fichier / des données ? 32% des pire incidents de sécurité sont causées par des personnes à l’intérieur de l’organisation; 48% dans les grandes entreprises – Information Security Breaches Survey 2002, PWC Le vol d’informations propriétaires est la plus grande source de dommages financiers parmi tous les incidents de sécurité – CSI/FBI Computer Crime and Security Survey, 2001

Rights Management Services Nouvelle technologie contribuant à la protection des données sensibles contre une utilisation non autorisée, à la fois en ligne et en mode déconnecté, sur votre réseau ou à l’extérieur du périmètre de votre système d’information Les utilisateurs peuvent définir exactement comment le destinataire pourra utiliser les données Les organisations peuvent créer des modèles de politiques de sécurité personnalisés et les gérer de manière centralisée (ex : politique « Confidentiel entreprise ») Permet aux développeurs de construire des solutions de protection des données flexibles et personnalisables

Scénarios d’utilisation de RMS Messages et documents confidentiels : plans marketing, propositions de fusion/acquisition, contrats Contenu Web rapports de vente ou financiers, données DRH, service juridique, … RMS peut virtuellement s’appliquer à n’importe quel type de données

Composants de RMS Partie cliente Windows Rights Management Services (RMS) Un service de Windows Server 2003 destiné à la protection des données Partie cliente Client Windows Rights Management (apporte les API pour Windows 98 ou ultérieur) “Rights Management Add-on for Internet Explorer” Applications utilisant RMS (exemple : application maison utilisant le SDK RM, Office System 2003)

Fonctionnalités Définir qui peut ouvrir, modifier, imprimer, transférer et / ou entreprendre d’autres actions avec les données (possibilité d’utiliser des listes de distribution contenues dans Active Directory) Fixer une date d’expiration sur des messages électroniques ou des documents… … à une date donnée … n jours après la publication … tous les n jours, en exigeant l’acquisition d’une nouvelle licence

Fonctionnalités Les modèles RMS : ensemble de droits, de groupes/utilisateurs, de conditions temporelles… Audit des requêtes vers le serveur (désactivé par défaut) Groupe « super users » pour accéder à tout contenu (individus ou groupes) Révocation (licences, certificats, manifestes d’applications) Exclusions (utilisateur, application, lockbox, versions de Windows) Certification croisée avec d’autres organisations (solution Extranet) La fusion d’entreprises est prévue Utilise XrML pour l’expression des droits (www.xrml.org) Approuvé par MPEG21 et OeBF En cours de revue

Flux de publication RMS L’auteur crée un fichier et définit un ensemble de droits et de règles L’appli chiffre le fichier et envoie une “licence de publication” non signée à RMS (Web Service); le serveur signe et retourne la licence de publication SQL RMS Active Directory L’auteur distribue le fichier Le destinataire clique sur le fichier pour l’ouvrir, l’application appelle RMS qui valide l’utilisateur et la requête et distribue une “licence d’utilisation”. L’application effectue le rendu du fichier et fait en sorte que les droits soient respectés Fichier Auteur du fichier Destinataire du fichier

Architecture côté client Application L’application hôte est responsable du respect des droits accordés à l’utilisateur. Client RM Le client contient toute la logique pour interagir avec le serveur, pour publier de nouvelles licences et gérer le stockage des licences Lockbox La lockbox (boîte à clé) contient les clés, réalise les opérations cryptographiques, et fournit des défenses contre les modifications (ex : anti debug)

Certificats et licences Machine Certificate – Identifie un PC de confiance et contient une clé publique unique (une par machine) RM Account Certificate – Publié d’après un Machine Certificate, il nomme l’identité d’un utilisateur de confiance (adresse e-mail) et contient la paire de clés privée/publique de cet utilisateur (un par utilisateur sur un PC donné) Client Licensor Certificate – publié d’après un RAC, il nomme un utilisateur de confiance qui est autorisé à publier hors connexion des informations protégées par des droits numériques, c’est à dire signer des licences de publication hors ligne via la Lockbox (un par utilisateur sur un PC donné) Publishing License – fournie soit par le serveur RMS soit par la Lockbox (publication hors connexion) elle définit la politique (noms/principals, droits & conditions) pour acquérir une licence d’utilisation d’informations protégées par des droits numériques et contient la clé symétrique qui a chiffré les données , chiffrée avec la clé publique du serveur RMS qui fournira les licences d’utilisation Use License – publiée seulement par un serveur RMS, il accorde à un “principal” (utilisateur avec un RAC valide) les droits de consommer le contenu protégé basés sur la politique établie dans la licence de publication Revocation Lists – Enumère les “principals” (en général des clés publiques) auxquels on ne fait plus confiance. Les licences d’utilisations peuvent exiger qu’une liste de révocation récente soit présnete avant d’autoriser le déchiffrement Machine Certificate Lockbox DLL Machine Certificate RM Account Certificate RM Account Certificate Client Licensor Certificate RMS Licensor Certificate (or CLC) RM Publishing License RM Publishing License RM Use License Revocation List RM Account Certificate Revocation de la clé RAC Lockbox DLL

Base de données (ex :SQL Server) Bibliothèque documentaire Portail Frontal Web Couche RM Base de données (ex :SQL Server) Permissions Bibliothèque documentaire RMS Back End Frontaux Clients

Demo

Windows desktop

Worldwide sales portal home page

Standard reports menu

Welcome to Rights Managed setup

Welcome to Rights Managed setup

Choose an account

mary@contoso.com Choose an account

Ready to open your documents (1 of 2) mary@contoso.com Ready to open your documents (1 of 2)

Ready to open your documents (1 of 2) mary@contoso.com Ready to open your documents (1 of 2)

Ready to open your documents (2 of 2) mary@contoso.com Ready to open your documents (2 of 2)

Rights managed document – no printing (1 of 3)

Rights managed document – no printing (2 of 3)

Rights managed document – no printing (3 of 3)

Rights managed document – no printing (3 of 3)

Rights managed document – no printing (2 of 3)

Rights managed document – no printing (2 of 3)

Rights managed document – no printing (2 of 3)

Rights managed document – no printing (2 of 3)

Rights managed document – no printing (2 of 3)

Rights managed document – no printing (2 of 3)

Rights managed document – no printing (2 of 3)

Rights managed document – no printing (2 of 3)

IRM (Information Rights Management) Une implémentation de RMS, dans Office 2003

Message à ne pas transférer Protection de fichiers sensibles IRM : Information Rights Management Empêche les messages de la direction d’arriver sur Internet Réduit le transfert d’informations confidentiels vers l’interne/externe Modèles pour gérer de manière centralisée les politiques Outlook 2003 Windows RMS Message à ne pas transférer Word 2003, PowerPoint 2003 Excel 2003, Windows RMS Contrôle l’accès aux plans sensibles Définit le niveau d’accès - afficher, modifier, imprimer... Détermine la durée d’accès Protection de fichiers sensibles IE avec RMA, Windows RMS Les utilisateurs qui n’ont pas Office 2003 peuvent visualiser les fichiers protégés par des droits numériques Assure le respect des droits assignés : afficher, imprimer, exporter, copier/coller, limites de temps Compatibilité

HTML dans les documents RM RMA récupère une Licence d’utilisation et offre à l’utilisateur les droits qui lui ont été accordés. Ne peut pas être utilisé pour éditer le contenu L’utilisateur crée un document Office 2003 Entête de document et métadonnées Licence de publication et Licence d’utilisation Document chiffré (data stream ou MIME part) RMA extrait le contenu HTML du fichier au format Office Rendu HTML chiffré (data stream ou MIME part) Le document est protégé par des droits numériques et un rendu HTML, lui- même protégé, est créé Pied de document

Les limites…

Limites RMS NE fournit PAS … …une sécurité à toute épreuve, un rempart infranchissable pour les hackers …de protection contre les attaques analogiques Ne constitue pas un mécanisme de sécurité en soit mais contribue à améliorer le respect de la politique de sécurité pour les données sensibles

Résumé Améliore le respect de la politique de sécurité pour les données sensibles Intégrité des données sensibles Protection persistante pour les fichiers Amélioration de la collaboration, y compris hors du périmètre sous contrôle du système d’information

Présentations Microsoft 9H15 à 10H15 Défense en profondeur 10H30 à 11H30 Gestion des correctifs de sécurité 11H30 à 12H30 Sécurité des réseaux Wi-Fi 13H30 à 14H30 NGSCB (ex-Palladium) 14H45 à 15H45 Gestion de droits numériques en entreprise (RMS) 15H45 à 16H45 http://www.microsoft.com/france/securite/evenements