Sécurité des terminaux Windows Mobile 5 3/26/2017 3:57 PM Sécurité des terminaux Windows Mobile 5 Thierry Picq Managing Consultant Microsoft Services France © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
L’identité du Conseil Microsoft Rôle d’avant-garde Catalyseur du changement chez nos clients pour l’emploi des technologies Microsoft et l’adoption des nouvelles versions Effet de levier maximum en début de cycle de vie des technologies Effacement progressif quand : La technologie est installée dans le compte Le savoir-faire et les compétences sont largement diffusées Assistance aux partenaires mettant l’accent sur le transfert de compétences et de connaissances sur les technologies Microsoft Cadres méthodologiques éprouvés : Microsoft Solutions Framework (MSF) et Microsoft Operations Framework (MOF) Capacité d’engagement sur les projets stratégiques Risque Partenaires Conseil Microsoft Support Adoption des Technologies
Architecture type Terminaux Accès et Authentification Communications 3/26/2017 3:57 PM Architecture type Accès Distants (RAS) Terminaux Internet (Réseaux cellulaires : GSM/GPRS) Frontières de l’Entreprise Accès et Authentification Wireless PDA Serveur FE Mailbox Server Communications Communications Internet DMZ Smart phone Mailbox Server Wifi Interne Internet Haut débit (VPN, …) POP FAI Internet sans fil (802.11x - hotspots) Wi-Fi PDA Wi-Fi Smart phone Filaire Sans fil Légende Il est indispensable d'avoir une approche de bout en bout !!! Wi-Fi PDA Wi-Fi Smart phone Accès unique “nom du server” = “monentreprise.com” Pas de compte spécifique © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Conclusion matinale(hors terminaux): 3/26/2017 3:57 PM Je maîtrise et sécurise les communications de bout en bout en maintenant un niveau de sécurité élévé Internet (Réseaux cellulaires : GSM/GPRS) Segmentation Frontières de l’Entreprise Analyse des flux Wireless PDA Serveur FE Mailbox Server Internet DMZ Smart phone Mailbox Server Wifi Interne Internet Haut débit (VPN, …) SSL 128 bits POP FAI Internet sans fil (802.11x - hotspots) Wi-Fi PDA Wi-Fi Smart phone Filaire Sans fil Légende Wi-Fi PDA Wi-Fi Smart phone Accès unique “nom du server” = “monentreprise.com” © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
3/26/2017 3:57 PM Ce matin nous avons traité la sécurité des voies de communications et le contrôle des points d’accès mais: Il faut sécuriser les terminaux en eux-même Il faut gérer les données sur ces terminaux Il est nécessaire d’administrer ces terminaux © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Risques de sécurité : Les terminaux mobiles doivent être considérés comme des ordinateurs à part entière… 3/26/2017 3:57 PM Opérateurs Mobiles et Fixes Terminaux Entreprise WAN WAN WLAN Infrared LAN PAN Applications Disposez-vous d’une politique de sécurité pour les terminaux mobiles ? Les ordinateurs portables, mais aussi les autres…? © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Analyse des risques Des défis pour tous… 3/26/2017 3:57 PM Analyse des risques Des défis pour tous… Opérateur Mobile Entreprise Utilisateur final Protection des données de l’entreprise Sécurité et intégrité du réseau interne Gestion des terminaux Gestion des applications Simplicité d’usage Diversité et richesse des applications Capacité à développer des applications complexes Sécurité Intégrité et disponibilité du réseau Opérateur Gestion des terminaux “Branding” Déployer des applications et des services à valeur ajoutée Minimiser les coûts de support Intégrité et disponibilité du terminal, prévention des “malware” Voix et accès aux données sont des besoins communs © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Sécurité au niveau du terminal 3/26/2017 3:57 PM Sécurité au niveau du terminal Modèle de sécurité Périmètre Protection des données Sécurité du réseau (PAN) Sécurité matérielle Sachant que sur un terminal mobile, l’ergonomie est fondamentale: Usage avec seule main, en mouvement, clavier limité Pas de Smartcard, pas de clefs USB, la biométrie peu répandue, etc. Et que Les utilisateurs vont naturellement rejeter ou contourner des mesures de sécurité limitant ce qu’ils souhaitent faire. …ou si ces mesures représentent «trop de travail » Ne jamais sous estimer la « créativité » des utilisateurs… © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Modèle de sécurité de Windows Mobile Contrôle d’exécution du code (Code Execution Control) 3/26/2017 3:57 PM Première défense contre les programmes malveillants Combinaison de la signature électronique du code et la configuration du terminal Les terminaux sont configurés selon deux modes: 1-tier 2-tier La signature défini les permissions pour une application Ces applications/codes peuvent être signés par Mobile2Market (M2M): programme de signature Les Opérateurs Mobiles Les Entreprises La révocation de code signé est plus efficace © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Modèle de sécurité de Windows Mobile Code Groups (CG) 3/26/2017 3:57 PM Modèle de sécurité de Windows Mobile Code Groups (CG) Trusted (Privileged) Code Group Accès complet au terminal: toutes les APIs, la base de registre, le système de fichiers, les interfaces matérielles, le Kernel mode Normal (Unprivileged) Code Group Accès limité au terminal: la plupart des APIs, des segments de la base de registre et du système de fichiers ne sont accessibles qu’en lecture seule. Ce mode doit être celui privilégié pour la conception et la réalisation d’applications Blocked Code Group Les applications ne peuvent fonctionner Ces Code Groups sont assignés lors du chargement du code, basés sur la signature de ce dernier. © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
3/26/2017 3:57 PM Modèle de sécurité de Windows Mobile Contrôle d’éxecution: terminaux 1-tier ou 2-tier Terminologie décrivant les permissions associées au code Terminaux 2-tier Fonctionne en Code Groups ‘Trusted’ et ‘Normal’ Uniquement les Smartphone (configuration par défaut) Terminaux 1-tier Toutes les applications fonctionnent avec le Code Group ‘Trusted’ Le code ‘Normal’ est associé au code ‘Trusted’ Smartphone et PocketPC PocketPC (configuration par défaut) Configuré via des politiques de sécurité © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Modèle de sécurité de Windows Mobile Définir l’équilibre 3/26/2017 3:57 PM Sécurité Protection renforcée contre les codes malveillants Accroissement de la gestion Accessibilité Applications variées Plus simple pour les utilisateurs Utilisateur notifié pour l’exécution de code non signé ou inconnu Le code doit être signé pour s’exécuter. Signature contrôlée Toutes les applications fonctionnent Le code doit être signé pour s’exécuter Signé par tierce partie Pas de sécurité Notification Verrouillé CG: Trusted CG: Trusted, Normal ou Blocked CG: Trusted, Normal ou Blocked CG: Trusted, Normal ou Blocked © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Modèle de sécurité de Windows Mobile Recommendations 3/26/2017 3:57 PM Modèle de sécurité de Windows Mobile Recommendations Qui Configuration du terminal Sécurité ISVs élevée LORG Verrouillé Signatures OM, Entreprise, OEM uniquement Expérience “complexe” S/MORG Signature par tierce partie Signature M2M acceptée, non signé bloqué Favorise la communauté des développeurs Opérateur Mobile (Default) Smartphone 2-tier notification Pocket PC 1-tier notification Notification: code inconnu, utilisateur prévenu Le modèle SANS sécurité n’est PAS recommandé ! © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Démonstration Code Groups 3/26/2017 3:57 PM © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Sécurité du périmètre Pointsec Software Mots de passe: Protocoles: 3/26/2017 3:57 PM Sécurité du périmètre Mots de passe: PocketPC: 4 digit pin, mots de passe forts Smartphone: > 4 digit pin Mots de passe stockés dans une partie sécurisée (privilégiée) de la Registry Accroissement exponentiel des délais en cas de mauvais mot de passe Partenariat Activesync protégé par mot de passe Protocoles: PAP, CHAP, MS-CHAP, TLS, NTLM support SSL 3.0 Exchange ActiveSync & IE Mobile Local Authentication Subsystem (LASS): mécanismes flexibles d’intégration de Plug-ins d’authentification (Local Authentication Plug-ins / LAP) Biométrie Potentiellement très pratique Identifiant ou authentifiant? HP iPAQ série 5400 avec lecteur d’empreintes digitales Lecteurs de cartes à puces Applications Accès réseau Solutions tierces Pointsec Software © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Protection des données 3/26/2017 3:57 PM Protection des données Plus exposé qu’un PC traditionnel Intégration des services de crypto pour les applications Certification FIPS 140-2 (WM 5.0) S/MIME (WM 5.0) 128-bit Cryptographic services: Crypto API v2 Signature de code (limite l’installation : SP) API Anti-virus: ces virus peuvent exister et se propager (cf. Cabir (fin 2004) et Commwarrior.A (mars 2005) pour Symbian se propageant via une combinaison de Bluetooth et MMS) A ce jour nous ne connaissons pas de virus pouvant se propager d’une plateforme PC vers un PDA/Smarphone. SQL-CE fourni un chiffrement 128-bits (PPC uniquement) Nombreux outils tiers pour chiffrer les données: Computer Associates; F-Secure; McAfee; Symantec; SOFTWIN; Trend Micro; Bluefire Security Technologies; Check Point VPN-1 SecureClient. © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Sécurité réseau Client VPN intégré Wireless 3/26/2017 3:57 PM Sécurité réseau Client VPN intégré PPTP, L2TP, L2TP/IPSEC (PSK, ou certificat) IPSEC: le mode tunnel nécessite un client tiers Wireless WEP, 802.1X (EAP-TLS, PEAP), WPA (incluant PSK) Secure Browsing: HTTP (SSL), WAP (WTLS), Zones de Sécurité Certification FIPS 140-2 OTA device management security: OMA DM provision settings & certs Windows CE 5.0 : Stockage persistant Offres tierces: VPN Checkpoint, Bluefire, Funk Software, Certicom Movian VPN (OEM uniquement) Authentification à deux facteurs RSA SecureID (supporte la synchronisation Exchange EAS) Sécurité du PAN : Bluetooth “Bluesnarfing”: Vol de données personnelles via une connexion Bluetooth. Virus Recommandation de Microsoft aux OEM de désactiver BT par défaut. © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
3/26/2017 3:57 PM Sécurité: gestion des terminaux System Management Server 2003 feature pack Inventaire matériel & logiciel Collecte de fichiers Distribution logiciel Scripts Gestion des configurations (mots de passe, etc.) Distribution automatique via le PC (sous SMS) Device Management Feature Pack CE Device Management Client XP Embedded Advanced Client Windows Mobile Windows XP Embedded Windows CE © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Sécurité: gestion des terminaux 3/26/2017 3:57 PM Sécurité: gestion des terminaux Sécurité: Credant Mobile Guardian- Enterprise Edition Intégration AD et groupes Gestion des mots de passe, synchronisation PC, chiffrement, Firewall, autorisations et accès Logging Bluefire Security Firewall et politiques de mots de passe Gestion de bout en bout Afaria & Extended Systems (Sybase), Intellisync, JP Mobile Exchange 2003 SP2 Sécurité Support S/MIME, Certification FIPS Centralisation de la sécurité des terminaux Garantie d’application des politiques de sécurité: PIN code (complexité, longueur), effacement des données après X tentatives, impossible de synchroniser si les politiques ne sont pas suivies Possibilité de forcer une mise à jour régulière des politiques de sécurité “Formatage” à distance Intégration des certificats x509 Fonctionnel Direct Push Technology: AUTD sans SMS, indépendant du média de connexion, recherche dans la GAL, Synchronisation des Taches, etc… © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Gestion distante des terminaux et politiques de sécurité
Réinitialisation à distance 3/26/2017 3:57 PM Remarque: Réinitialisation complète du terminal uniquement (ne concerne pas le stockage amovible) Géré par un outil Web (IIS 6 nécessaire) Peut être délégué au centre de support Historique (Transaction log) Microsoft Exchange ActiveSync Mobile Web Administration tool : http://www.microsoft.com/downloads/details.aspx?familyid=E6851D23-D145-4DBF-A2CC-E0B4C6301453&displaylang=en © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Application de politiques de sécurité avec Exchange 2003 SP2 3/26/2017 3:57 PM Démonstration Application de politiques de sécurité avec Exchange 2003 SP2 © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
(Réseaux cellulaires : GSM/GPRS) Frontières de l’Entreprise Conclusion : 3/26/2017 3:57 PM Je peux capitaliser sur mes investissements pour gagner en productivité tout en restant sécurisé et en maîtrisant les coûts dans un environnement ouvert … Internet (Réseaux cellulaires : GSM/GPRS) Segmentation Frontières de l’Entreprise Analyse des flux clients & serveurs Wireless PDA Serveur FE Mailbox Server Internet DMZ Smart phone Mailbox Server Wifi Interne Internet Haut débit (VPN, …) SSL 128 bits POP FAI Internet sans fil (802.11x - hotspots) Wi-Fi PDA Wi-Fi Smart phone Filaire Sans fil Légende Wi-Fi PDA Wi-Fi Smart phone Accès unique “nom du server” = “monentreprise.com” © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Microsoft France 18, avenue du Québec 91 957 Courtaboeuf Cedex 3/26/2017 3:57 PM Microsoft France 18, avenue du Québec 91 957 Courtaboeuf Cedex www.microsoft.com/france 0 825 827 829 msfrance@microsoft.com © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.