Nouveautés de sécurité de Windows Vista

Nouveautés de sécurité de Windows Vista
3/26/2017 3:57 PM Nouveautés de sécurité de Windows Vista Pascal Sauliere Cyril Voisin Microsoft France © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Sommaire Fondamentaux Atténuation des menaces et des vulnérabilités
Gestion de l’identité et de l’accès

3/26/2017 3:57 PM Avertissement Les démonstrations et informations données dans cette présentation, se basent sur une version préliminaire de Windows Vista (pré-bêta 2), les informations présentées peuvent être soumises à changement et ce jusqu’à la mise à disposition commerciale du logiciel en version finale. © 2006 Microsoft Corporation. Tous droits réservés. © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Windows Vista Fondamentaux
Système développé dans le cadre du Security Development Lifecycle Intégrité du code pour protéger les fichiers de l’OS (Code Integrity) Réduction des redémarrages et facilité d’obtention d’un statut sur la sécurité Agent d’analyse de la sécurité unique (Windows Update Agent) API Restart Manager Amélioration du Centre de sécurité Contrôle de l’installation des périphériques amovibles

Démonstration Centre de sécurité Windows Update 3/26/2017 3:57 PM
© Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Gestion des périphériques amovibles
3/26/2017 3:57 PM Démonstration Gestion des périphériques amovibles © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Atténuation des menaces et des vulnérabilités
3/26/2017 3:57 PM Atténuation des menaces et des vulnérabilités Protéger contre les logiciels malveillants (malware) et les intrusions Prévention Isolation Rétablissement Stopper les attaques connues et inconnues Limiter l’impact à travers l’isolation Revenir à un état connu Anti-spyware (Windows Defender) Anti-spam Anti-phishing Pare-feu personnel IPSec User Account Control Améliorations d’IE Renforcement des services Windows Network Access Protection Restauration du système (System Restore) Malicious Software Removal Tool Intellimirror® © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Démonstration Windows Defender 3/26/2017 3:57 PM

UAC (User Account Control)
3/26/2017 3:57 PM Démonstration UAC (User Account Control) © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Filtre antiphishing d’Internet Explorer
3/26/2017 3:57 PM Démonstration Filtre antiphishing d’Internet Explorer © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Pare-feu (filtrage sortant, règle IPsec)
3/26/2017 3:57 PM Démonstration Pare-feu (filtrage sortant, règle IPsec) © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Windows Service Hardening
3/26/2017 3:57 PM Démonstration Windows Service Hardening © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Gestion de l’identité et de l’accès
3/26/2017 3:57 PM Gestion de l’identité et de l’accès Permet uniquement aux utilisateurs légitimes un accès sécurisé et basé sur une politique de sécurité aux machines, applications et données Identité digne de confiance Gestion de la politique d’accès Protection de l’Information Assurer que les utilisateurs sont bien ce qu’ils disent être ; gestion du cycle de vie de l’identité Fournir l’accès en fonction de la politique de sécurité Protéger les données au long du cycle de vie Rights Management Services Services de chiffrement Protocoles et canaux sécurisés Services de sauvegarde et de récupération Bitlocker Drive Encryption Authentification forte (carte à puce, etc.) Services de certificats (PKI) Role-based Access Control Group Policy Management Console Amélioration de l’audit Contrôle parental © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Démonstration Contrôle parental 3/26/2017 3:57 PM

Bitlocker Drive Encryption
3/26/2017 3:57 PM Démonstration Bitlocker Drive Encryption © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Compléments CD Vista Sécurité
Présentation complète 23 démonstrations enregistrées … Annexe de cette présentation (150 diapositives), téléchargeable en ligne

Microsoft France 18, avenue du Québec 91 957 Courtaboeuf Cedex
3/26/2017 3:57 PM Microsoft France 18, avenue du Québec Courtaboeuf Cedex © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Annexe

Préambule Cette présentation a pour but :
de vous faire découvrir ce que vous pourrez faire en matière de sécurité avec Windows Vista de vous exposer certains éléments du fonctionnement interne de cette nouvelle version majeure de Windows (ce qui a été fait pour rendre son utilisation plus sécurisée)

Sommaire Introduction et contexte Les fondamentaux dans Windows Vista
L’initiative pour l’informatique de confiance La vision de Microsoft de la sécurité Les axes de focalisation Les investissements technologiques Les fondamentaux dans Windows Vista L’atténuation des menaces et des vulnérabilités La gestion des identités et des accès Synthèse Excellence de l’ingénierie, Protection fondamentale, Accès sécurisé, Contrôle intégré

Stratégie de sécurité de Microsoft
Initiative pour l’informatique de confiance Sécurité, respect de la vie privée, fiabilité, intégrité commerciale La vision de Microsoft de la sécurité Etablir la CONFIANCE en l’informatique afin de permettre la réalisation du plein potentiel d’un monde interconnecté Les axes de focalisation Investissements technologiques Fondamentaux Atténuation des menaces et des vulnérabilités Contrôle d’accès et d’identité Conseils prescriptifs Partenariats

Fondamentaux Security Development Lifecycle Security Response Center
Intégrité du code pour protéger les fichiers de l’OS Réduction des redémarrages et facilité d’obtention d’un statut sur la sécurité Agent d’analyse de la sécurité unique (Windows Update Agent) Restart Manager Amélioration du Centre de sécurité Contrôle de l’installation des périphériques amovibles © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Excellence de l’ingénierie Processus de développement de Windows Vista
3/26/2017 3:57 PM Excellence de l’ingénierie Processus de développement de Windows Vista Processus amélioré de Security Development Lifecycle (SDL) pour Windows Vista Formation périodique obligatoire à la sécurité Assignation de conseillers en sécurité pour tous les composants Modélisation des menaces intégré à la phase de conception Revues de sécurité et tests de sécurité inclus dans le planning Mesures de la sécurité pour les équipes produit Certification Critères Communs (CC) 23 © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Code Integrity Code Integrity protège les fichiers du système d’exploitation lorsque celui-ci est en cours d’exécution Signature de tous les exécutables et DLL du système d’exploitation Vérification de la validité des signatures lors du chargement en mémoire Le but est ici de s’assurer qu’un logiciel malveillant ne remplace pas un fichier du système d’exploitation ou n’injecte pas un pilote non signé afin de compromettre une partie du système d’exploitation

Code Integrity Binaires vérifiés (hash vérifié):
Ceux chargés en mode noyau (tout le binaire) Ceux chargé dans un processus protégé - un seul : Media Foundation PMP (par page) Les DLL installées par le système qui implémentent des fonctions cryptographiques (par page) En cas d’échec de la vérification Comportement dicté par la politique CI System Recovery gère les échecs pour les fichiers nécessaires au boot Si échec de vérification d’une page en mode utilisateur, exception levée qui résulte souvent en l’échec de l’application Enregistrement d’événements dans Event Viewer / Application Logs / Microsoft / Windows / CodeIntegrity

Rendre plus facile la gestion des correctifs
3/26/2017 3:57 PM Rendre plus facile la gestion des correctifs Moins de temps nécessaire pour les administrateurs Moins d’interruption de l’utilisateur Moins de correctifs, plus petite taille Outil commun d’analyse Application directe des correctifs à une image Moins de redémarrages Mise à jour automatique pour tout Expérience avec les mises à jour : cohérence et fiabilité © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/26/2017 3:57 PM Restart Manager Nouvelle API pour diminuer le nombre de redémarrages liés à l’application de correctifs de sécurité Exemple : les applications Office12 tirent parti des API de notifications d’arrêt et de redémarrage permet la récupération de l’état et du document après un redémarrage applicatif Shutdown API Sauvegarde du fichier de travail, des états Fermeture de l’application Restart API Redémarrage de l’application Reprend le fichier de travail, les états © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Gouverner l’usage des périphériques
3/26/2017 3:57 PM Gouverner l’usage des périphériques Ajouter la prise en charge de périphériques et autoriser ou interdire leur installation Les pilotes approuvés par le service informatique peuvent être ajoutés dans le Trusted Driver Store (staging) Les Driver Store Policies (stratégies de groupe) déterminent le comportement pour les packages de pilote qui ne sont pas dans le Driver Store. Par exemple : Pilotes qui ne sont pas aux standards de l’entreprise Pilotes non signés Ces stratégies sont désactivées par défaut en raison des risques inhérents aux pilotes arbitraires 28 © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/26/2017 3:57 PM Driver Store Le Driver Store est un entrepôt de confiance sur chaque machine cliente Une fois qu’un pilote est ajouté au Driver Store par un administrateur, il peut être installé quelles que soient les permissions de l’utilisateur qui a ouvert une session Ajout Installation Nécessite les privilèges d’administrateur (ou configuration) Indépendant des permissions (si déjà ajouté) © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Driver Package Integrity
3/26/2017 3:57 PM Driver Package Integrity Changements dans l’implémentation de la signature des pilotes Les administrateurs doivent être en mesure de savoir : Qui a publié un package d’installation de pilote Que le package d’installation de pilote n’a pas été altéré depuis qu’il a été publié Les administrateurs peuvent finalement signer les pilotes, et définir une politique pour faire confiance à ce qu’ils ont signé Les pilotes signés par un éditeur de confiance peuvent être installés par les utilisateurs standards © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Stratégie de groupe Installation de périphériques

Atténuation des menaces et des vulnérabilités
3/26/2017 3:57 PM Atténuation des menaces et des vulnérabilités Protéger contre les logiciels malveillants (malware) et les intrusions Prévention Isolation Rétablissement Stopper les attaques connues et inconnues Limiter l’impact à travers l’isolation Revenir à un état connu Anti-spyware (Windows Defender) Anti-spam Anti-phishing Pare-feu personnel IPSec User Account Control Améliorations d’IE Renforcement des services Windows Network Access Protection Restauration du système (System Restore) Malicious Software Removal Tool Intellimirror® © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Fonctions intégrées anti-malware
3/26/2017 3:57 PM Fonctions intégrées anti-malware Windows Defender Fonctions intégrées de détection, nettoyage, et blocage en temps réel des spywares (dont intégration avec Internet Explorer pour fournir une analyse antispyware avant téléchargement) 9 agents de surveillance Système de scan rapide intelligent Ciblé pour les consommateurs (pas de fonctions de gestion en entreprise) La gestion en entreprise est possible avec le produit payant séparé Microsoft Client Protection MSRT (Microsoft Malicious Software Removal Tool) intégré permet de supprimer virus, bots, et chevaux de Troie pendant une mise à jour et sur une base mensuelle © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Windows Firewall with Advanced Security
3/26/2017 3:57 PM Windows Firewall with Advanced Security Gestion combinée d’IPsec et du pare-feu Nouvelle MMC (Windows Firewall with Advanced Security) Nouvelles commandes en ligne (netsh advfirewall) Politique de protection simplifiée Réduit de manière spectaculaire le nombre d’exemptions IPsec nécessaires dans un déploiement de grande ampleur Gestion à distance © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Modèle d’administration
Windows XP SP2/Windows 2003 SP1: Bloque par défaut les connexions entrantes non sollicitées Les exceptions autorisent des ports ou des programmes, pour certaines adresses sources ou sous-réseau Windows Vista/Windows Server “Longhorn”: Les règles de pare-feu deviennent plus intelligentes: Spécification de groupes d’utilisateurs ou de machines Active Directory Spécification de prérequis de sécurité comme l’authentification ou le chiffrement

Isolation de domaine et de serveur
3/26/2017 3:57 PM Isolation de domaine et de serveur Segmentation dynamique de votre environnement Windows® en des réseaux plus sécurisés et isolés logiquement, d’après une politique Labos Invités non gérés Isolation de serveur Protéger des serveurs et des données spécifiques de grande valeur Isolation de domaine Protéger des machines gérées des machines non gérées ou des intrus (machines ou utilisateurs) © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Segmentation dynamique basée sur une politique
3/26/2017 3:57 PM Segmentation dynamique basée sur une politique Isolation de domaine Contrôleur de domaine Active Directory Réseau d’entreprise Isolation de serveur Serveur de ressources de confiance Serveurs avec des données sensibles Poste de travail RH X Ordinateur non géré ou intrus X Ordinateur géré Ordinateur géré Défiance Définition des frontières de l’isolation logique Distribution des politiques et lettres de créance Accès compartimenté aux ressources sensibles Les ordinateurs gérés peuvent communiquer Blocage des connexions entrantes depuis des machines non gérées © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Fonctionnalités du pare-feu avancé
Filtrage entrant et sortant avec tables d’état pour IPv4 et IPv6 Règles par défaut configurables : Par défaut les flux entrants sont bloqués Par défaut les flux sortants sont autorisés ICMPv4 et ICMPv6 Filtrage de protocoles IP personnalisés Règles pour les programmes en utilisant le chemin ou le nom de service Support des types d’interface (RAS, LAN, Wi-Fi) Possibilité de contournement administratif du pare-feu

Fonctionnalités du pare-feu avancé
3/26/2017 3:57 PM Fonctionnalités du pare-feu avancé Granularité de la politique de sécurité réseau de l’hôte Autoriser, Bloquer, autoriser si politiques sécurisées Exceptions sur les utilisateurs Exceptions sur les groupes Profils de politique selon la position Profil de domaine et profil standard La connectivité au domaine est authentifiée Nouveaux algorithmes cryptographiques Chiffrement : AES-128, AES-192, AES-256 Échange de clés : ECDH P-256, ECDH P-384 Restrictions sur les services (filtrage basé sur les SID de services) © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Intégration avec les stratégies de groupe
Intégration complète avec les stratégies de groupe Délégation Sauvegarde et restauration Rafraîchissement de la politique Outils de dépannage La politique est stockée dans SysVol Gestion depuis un client Windows Vista

Dépannage Surveillance
Intégrée à la console Version ligne de commande Montre la politique en cours, les associations de sécurité, les filtres main mode et quick mode Audit granulaire amélioré dans le journal des événements (plus de log Oakley)

Et les environnements mixtes ?
3/26/2017 3:57 PM Et les environnements mixtes ? Windows Vista comprends les politiques IPsec et Pare-feu Windows Configuration Modèle administratif du pare-feu Windows ou netsh firewall MMC IP Security Policies ou netsh ipsec Dépannage IP Security Monitor Netsh ipsec Une politique créée avec la console Windows Firewall with Advanced Security ou netsh advfirewall ne s’applique qu’à Windows Vista et Windows Server “Longhorn” © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Network Access Protection
3/26/2017 3:57 PM Network Access Protection La surcouche santé des réseaux Aperçu de NAP Validation vis à vis de la politique Détermine si oui ou non les machines sont conformes avec la politique de sécurité de l’entreprise. Les machines conformes sont dites “saines” (ou « en bonne santé ») Restriction réseau Restreint l’accès au réseau selon l’état de santé des machines Mise à niveau Fournit les mises à jour nécessaires pour permettre à la machine de devenir “saine”. Une fois “en bonne santé”, les restrictions réseau sont levées Maintien de la conformité Les changements de la politique de sécurité de l’entreprise ou de l’état de santé des machines peuvent résulter dynamiquement en des restrictions réseau © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

NAP : principe de fonctionnement
3/26/2017 3:57 PM NAP : principe de fonctionnement Réseau de l’entreprise Réseau restreint (quarantaine) Remediation Servers (antivirus, système de maj de correctifs…) System Health Servers (défini les pré requis du client) Les voici Puis je avoir les mises à jour ? Mise à jour du serveur IAS avec les politiques en cours Demande d’accès ? Voici mon nouveau status Puis je avoir accès ? Voici mon status actuel Est ce que le client doit être restreint en fonction de son status? Vous avez droit à un accès restreint tant que vous n’êtes pas à jour En accord avec la politique, le client est à jour Accès autorisé En accord avec la politique, le client n’est pas à jour. Mise en quarantaine et demande au client de se mettre à jour Client Network Access Device (DHCP, VPN) IAS Policy Server System Health Agents Microsoft et 3rd Parties (AV/Patch/FW/Other) System Health Validators Microsoft et 3rd Parties Quarantine Agent Quarantine Enforcement Client Microsoft et 3rd Parties DHCP/VPN/IPsec/802.1x Quarantine Server Le Client obtient l’accès complet à l’Intranet © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/26/2017 3:57 PM Les menaces Blaster : utilisait RPCSS pour écrire msblast.exe sur le disque et ajouter quelques clés Run dans le registre Autres exemples : Sasser (LSASS), Code Red (IIS), Slammer (SQL) Des vulnérabilités dans les services ont existé et d’autres seront découvertes Les services sont des cibles attractives pour les logiciels malveillants : Pas d’interaction avec l’utilisateur Un bon nombre s’exécutent en tant que LocalSystem (tous les droits sur le système…) © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Programmes avec droits restreints
3/26/2017 3:57 PM Renforcement des services Windows Défense en profondeur (refactorisation, création de profils) Réduire la taille des couches à haut risque Utilisateur Admin Segmenter les services Services Augmenter le nombre de couches Service … Service 1 Noyau D D Service … Service 2 D Service A Service 3 Service B Pilotes en mode noyau D Services restreints Pilotes en mode utilisateur D D D D Programmes avec droits restreints 46 © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Durcissement des services Windows Défense en profondeur
Établissement d’un profil pour les services Windows indiquant les actions autorisées pour le réseau, le système de fichiers et le registre Conçu pour bloquer les tentatives de détournement d’un service Windows pour écrire à un endroit qui ne fait pas partie du profil du service Réduit le risque de propagation d’un logiciel malveillant Durcissement de services Système de fichiers Registre Réseau

Implémentation Principe de moindre privilège
Refactoring Passer de LocalSystem à un compte moins privilégié Si nécessaire, séparer la partie qui nécessite LocalSystem Profiling : services restreints Permissions explicites par service: registre, fichiers Règles réseau Rend possible l’utilisation des comptes LocalService et NetworkService et les permissions supplémentaires si besoin

Services restreints Service restreint :
Privilèges nécessaires Règles réseau Le SCM, au démarrage du service : Calcule le SID du service : S-1-80-{SHA-1 du nom du service} Crée un jeton restreint (par le SID de service) et ne contenant que les privilèges nécessaires Permissions explicites sur le SID du service : registre, fichiers Rend possible l’utilisation des comptes LocalService et NetworkService et les permissions supplémentaires si besoin

Points douloureux Virus et spywares
3/26/2017 3:57 PM Points douloureux Virus et spywares Les virus et spywares peuvent endommager plus le système s’ils s’exécutent avec des privilèges élevés En entreprise, les utilisateurs ayant des privilèges élevés peuvent compromettre l’ensemble du SI Des applications nécessitent des privilèges élevés, parfois non justifiés La sécurité du système doit être relâchée pour ces applications Certaines tâches nécessitent des privilèges élevés Difficile de déployer certaines applications sans compromettre la sécurité du système Des scénarios comme la mobilité ne fonctionnent pas © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Moindre privilège dans Windows Vista
3/26/2017 3:57 PM Moindre privilège dans Windows Vista Permettre aux entreprises de déployer un poste de travail plus sécurisé et gérable, et permettre un contrôle parental à la maison Assurer que les utilisateurs peuvent effectuer toutes les tâches courantes Fournir une élévation de privilège simple et sécurisée pour l’installation, la désinstallation et les tâches administratives Protéger les tâches administratives des applications de l’utilisateur © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/26/2017 3:57 PM Objectifs d’UAC Tous les utilisateurs s’exécutent comme des utilisateurs standards même s’ils sont administrateurs Tâches courantes revues pour fonctionner en tant qu’utilisateur standard Ne concerne que le logon interactif Les administrateurs n’utilisent leurs privilèges que pour les tâches ou applications administratives L’utilisateur fournit un consentement explicite avant d’utiliser des privilèges élevés Haute compatibilité des applications Les installateurs d’applications sont détectés Les applications nécessitant des privilèges « admin » peuvent être marquées comme telles © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Définitions Utilisateur Administrateur Mode consentement Mode saisie
Compte n’appartenant pas au groupe local Administrateurs Ne peut pas effectuer des changements sur le système complet (à quelques exceptions près comme les paramètres d’affichage) Utilisateur à moindre privilège (LUA) ou Utilisateur Standard Administrateur Compte appartenant au groupe local Administrateurs Par défaut les mêmes privilèges qu’un Utilisateur, mais a la possibilité de les élever pour avoir un accès complet à la machine Administrateur protégé (PA) Mode consentement Mode dans lequel il est demandé son consentement à l’Administrateur avant d’effectuer une tâche administrative –sauf pour le compte local Administrateur Mode saisie Demande d’intervention d’un administrateur (authentification : nom/mot de passe, carte à puce…) Lorsqu’un Utilisateur effectue une tâche administrative

Meilleure expérience des utilisateurs standards
Corriger/supprimer les contrôles admin inappropriés Exemple typique : l’horloge système Ajout d’imprimante, d’autres périphériques, changement de fuseau horaire, défragmenteur, options d’alimentation, ajout d’une clé WEP/WPA… Cacher certains éléments de l’interface si l’utilisateur n’est pas administrateur Utilisateur standard par défaut lors de la création Bouclier pour identifier les opérations « admin »

Demande d’élévation de privilèges Pour un utilisateur standard

2 jetons pour un administrateur
Jeton complet Privilèges d’un administrateur Consentement par défaut Jeton restreint par défaut Privilèges d’un utilisateur standard

Élévation de privilège
Systématiquement, par les propriétés de l’exécutable : À la demande :

Demande d’élévation de privilèges Pour un administrateur
Consentement ou Saisie de mot de passe Application du système ou signée Application non signée

3/26/2017 3:57 PM Avertissement Windows Vista permet à un administrateur de faire une utilisation plus raisonnable de ses privilèges mais un administrateur demeure un administrateur L’objectif global N’est PAS de permettre à plus d’utilisateurs d’être administrateurs mais bien l’inverse © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Configuration d’UAC Secpol.msc, Local Policies, Security Options
6 paramètres :

Compatibilité Problème : applications qui ne fonctionnent pas correctement sans privilèges élevés Virtualisation Écriture : redirige les écritures « par machine » (disque, registre) vers le profil utilisateur Program Files, HKLM Lecture : essaie de lire depuis le profil utilisateur en premier Outil : LUA Predictor Identifie les appels (API) qui ne fonctionneraient pas en tant qu’utilisateur standard Identifie les accès requérant un privilège administrateur

3/26/2017 3:57 PM Application Compatibility Toolkit (ACT) 5 Réduction des coûts d’intégration Customize, categorize and prioritize applications Reporting and analysis Automated mitigation of known issues Centralized Agent Configuration Comprehensive compatibility ratings Option to share compatibility data © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Isolation des processus
3/26/2017 3:57 PM Isolation des processus Processus à différents niveaux sur le même bureau Le niveau de privilège (admin, LUA) détermine le niveau d’intégrité Intégrité ~ confiance Isole les interactions spécifiques entre les niveaux de privilège Bas ne peut pas écrire dans haut Blocage à la frontière des niveaux d’intégrité Attaques Shatter Injection de DLL Compatibilité applicative inchangée au même niveau d’intégrité Niveau d’intégrité Service Système System CPL Console AV Admin Word PPT Utilisateur/LUA IE Limité exe téléchargé © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Isolation des processus
3/26/2017 3:57 PM Isolation des processus Deux jetons pour un administrateur : complet et restreint Les deux ont le même SID utilisateur Le niveau d’intégrité (IL) est ajouté aux jetons pour les isoler (c’est un SID de la forme S <niveau>) Les IL sont obligatoires et ne peuvent pas être changés durant leurs cycles de vie Les processus LUA ont un niveau d’intégrité inférieur et ne peuvent pas Effectuer une élévation de privilèges en modifiant des processus PA Envoyer des messages à des fenêtres d’un processus PA… ou des fenêtres de n’importe quel processus d’un niveau d’intégrité supérieur Le processus LUA peut lire des données appartenant au processus PA (le but premier est de protéger contre l’écriture / la modification) © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Isolation de processus
3/26/2017 3:57 PM Isolation de processus Met en place une frontière de séparation des privilèges entre utilisateur LUA et administrateur protégé PA qui empêche l’élévation de privilèges interprocessus La vérification est faite à chaque fois qu’un processus utilise un objet Un processus peut démarrer un enfant avec un IL inférieur Privilège pour lancer dans un IL supérieur : SeRelabelPrivilege © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Synthèse User Account Control : changer les bases du système
3/26/2017 3:57 PM Synthèse User Account Control : changer les bases du système Corriger le système pour qu’il fonctionne correctement lorsqu’on est utilisateur standard Corriger / supprimer les vérifications administratives inappropriées (ex : affichage de l’horloge) Faire en sorte que même les administrateurs exécutent leurs applications en tant qu’utilisateur avec moindre privilège Fournir une méthode sécurisée pour exécuter certaines applications dans un contexte de privilèges élevés Indiquer clairement que les actions ont alors un impact sur la machine tout entière Nécessite que les applications non-UAC soient marquées Virtualisation du registre et des fichiers pour permettre la compatibilité MIC / UIPI : isoler les processus 66 © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Références Blog UAC http://blogs.msdn.com/uac/
Utiliser le kit de compatibilité applicative ACT Using Application Compatibility Tools for Marking Legacy Applications with Elevated Run Levels on Microsoft Windows Vista

Protections contre l’ingénierie sociale
3/26/2017 3:57 PM Protections contre l’ingénierie sociale Filtre antiphishing & barre d’adresse colorée Notification des paramètres dangereux Paramètres par défaut sécurisés pour les noms de domaine internationaux (IDN) Protection contre les exploitations Traitement unifié des URL Améliorations de la qualité du code Choix explicite des ActiveX à exécuter Mode protégé © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Active X Scénario IE6 IE6 XP SP2 IE7 XP SP2 IE7 Vista
3/26/2017 3:57 PM Active X Scénario IE6 IE6 XP SP2 IE7 XP SP2 IE7 Vista Téléchargement d’ActiveX non signés Bloqué silen-cieusement Téléchargement d’ActiveX signés Demande Bloqué avec Barre d’infos Contrôles ActiveX pré-installés Exécution silencieuse Exécution silencieuse, peut être géré Simplicité d’ajout de nouveaux contrôles ActiveX Utilisateurs admin Utilisateurs restreints © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Défense en profondeur dans Internet Explorer
3/26/2017 3:57 PM Défense en profondeur dans Internet Explorer Barre d’adresse sur toutes les fenêtres pop-up Restrictions sur le comportement des prompts s’exécutant dans des onglets Paramètres de sécurité par zone Notification des paramètres non surs Atténuation des risques ActiveX par autorisation d’installation et d’exécution explicites Paramètres de sécurité par zone (URLActions) © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Deux niveaux d’alerte et de protection dans la barre de statut d’IE7
3/26/2017 3:57 PM Filtre anti-phishing Protection dynamique avec IE 7 et Windows Live / Barre MSN Fournit 3 « contrôles » pour protéger les utilisateurs du phishing : Compare le site Web avec une liste de site légitimes connus localement Examine la page Web grâce à une heuristique afin de détecter les caractéristiques communes des sites de phishing Contrôle le site par rapport à un service Microsoft en ligne qui signale les sites connus pour leurs activités de phishing mis à jour plusieurs fois chaque heure Deux niveaux d’alerte et de protection dans la barre de statut d’IE7 Niveau 1 : Alerte Site Web suspect Signalé Niveau 2 : Blocage Site de phishing confirmé Signalé et bloqué En opt-in ! © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Une vue rapide des sources de données

Les fournisseurs actuels de données D’autres partenaires à venir…..

Mode protégé d’Internet Explorer
3/26/2017 3:57 PM Mode protégé d’Internet Explorer S’appuie sur UAC/MIC pour protéger les données et paramètres de l’utilisateur Fait tourner Internet Explorer en mode lecture seule dans la Zone Internet, à l’exception du répertoire Temporary Internet Files Bloque la possibilité pour les logiciels malveillants de supprimer des données de l’utilisateur, de détourner des paramètres du navigateur, ou d’ajouter quoi que ce soit dans le dossier de démarrage de l’utilisateur sans son consentement 74 © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

IE6 s’exécutant avec les droits d’administration
3/26/2017 3:57 PM IE6 s’exécutant avec les droits d’administration IE6 Accès droits admin Installation d’un pilote, exécution de Windows Update HKLM Program Files Exploitation peut installer MALWARE Accès droits utilisateur Modification des paramètres, télé-chargement d’une image HKCU Mes Documents Dossier de démarrage Exploitation peut installer MALWARE Fichiers temporaires Mise en cache du contenu Web Fichiers et paramètres de défiance 75 © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

IE7 en mode protégé (Vista)
3/26/2017 3:57 PM IE7 en mode protégé (Vista) IExplore Contrôle d’intégrité Paramètres et fichiers redirigés Redirecteur compatibilité IEAdmin Accès droits admin Installation d’un contrôle ActiveX HKLM HKCR Program Files IEUser Accès droits utilisateur Changement de paramètres, Enregistrement d’une image HKCU Documents Dossier de démarrage Fichiers temporaires Mise en cache du contenu Web Fichiers et paramètres de défiance 76 © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Traitement unifié des URL
3/26/2017 3:57 PM Traitement unifié des URL Problématique : Les URL passées sous forme de chaînes peuvent être traitées différemment et de manière incohérente au travers de la pile Les caractères spéciaux compliquent le traitement des URL Solution : iURI est le nouvel et unique de traitement des URL d’IE Met sous forme canonique les URL (RFC 3986) IE passe l’objet pré-traité à la pile de traitement © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Choix explicite des ActiveX à exécuter
3/26/2017 3:57 PM Problématique : Les contrôles ActiveX peuvent exposer des fonctions dangereuses et avoir des vulnérabilités exploitables par n’importe quelle page Web Solution : Les contrôles ActiveX pré-installés demanderont l’autorisation de s’exécuter lors de leur première utilisation, de même que les contrôles téléchargés Les utilisateurs peuvent lancer IE avec tous les Add-ons désactivés (y compris les BHO) “This move is worth praise.” Joe Wilcox, Jupiter Research, September 13, 2005 © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Sécurité interdomaine
3/26/2017 3:57 PM Problématique : Les hackers utilisent les protocoles de script pour exécuter des scripts hors domaines Solution : Migrer le protocole de script pour qu’il exécute le script dans la page d’origine © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Autres fonctionnalités
Restauration des paramètres par défaut d’IE Restauration des paramètres de base Effacement complet des traces

Gestion de l’identité et de l’accès
3/26/2017 3:57 PM Gestion de l’identité et de l’accès Permet uniquement aux utilisateurs légitimes un accès sécurisé et basé sur une politique de sécurité aux machines, applications et données Identité digne de confiance Gestion de la politique d’accès Protection de l’Information Assurer que les utilisateurs sont bien ce qu’ils disent être ; gestion du cycle de vie de l’identité Fournir l’accès en fonction de la politique de sécurité Protéger les données au long du cycle de vie Rights Management Services Services de chiffrement Protocoles et canaux sécurisés Services de sauvegarde et de récupération Bitlocker Authentification forte (carte à puce, etc.) Services de certificats (PKI) Role-based Access Control Group Policy Management Console Amélioration de l’audit Contrôle parental © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Aperçu du contrôle d’accès dans Windows Vista
3/26/2017 3:57 PM Aperçu du contrôle d’accès dans Windows Vista Contrôle d’accès Gestion des lettres de créance Authentification Autorisation Audit Identité Policy exp. Evénements Certificate Server Protocole RBAC Journalisation Gestion du cycle de vie Ouverture de session Azman Critères Communs Itinérance des lettres de créance Authentification forte AuthZ applis FIPS Cartes à puce Services de cryptographie CAPI CNG Traitement X.509 Système d’exploitation sécurisé Démarrage sécurisé (BitLocker Drive Encryption) Bureau isolé © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Accès sécurisé Bureau isolé
3/26/2017 3:57 PM Accès sécurisé Bureau isolé Protection des données avec le chiffrement de lecteur BitLocker™ Nouvelle architecture d’ouverture de session Windows Nouvelle infrastructure pour la cryptographie Simplicité du déploiement de l’authentification forte Améliorations pour les cartes à puce (clés EFS sur la carte; adhésion au domaine; outils de déploiement et de libre service) Améliorations de Certificate Services (PKI) Administration simplifiée de l’autorisation Network Access Protection Gestion de l’identité centrée sur l’utilisateur avec InfoCard 83 © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Sessions ? Windows Server 2003 : Windows XP avec Fast User Switching :
Session 0 = console Sessions 1..n = sessions Terminal Services Windows XP avec Fast User Switching : Session 0 = session du premier utilisateur Sessions 1..n = utilisateurs suivants

Isolation de la session 0 Comportement de Windows XP
3/26/2017 3:57 PM Isolation de la session 0 Comportement de Windows XP Session 1 Application D Application E Application F Session 0 Service A Service C Service B Application A Application B Application C Session 3 Application J Application K Application L Session 2 Application G Application H Application I © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Isolation de la session 0 Comportement de Windows Vista
3/26/2017 3:57 PM Isolation de la session 0 Comportement de Windows Vista Session 0 Session 1 Application A Application B Application C Service A Service B Service C Session 3 Application G Application H Application I Session 2 Application D Application E Application F © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Isolation de la session 0 Introduction à la technologie
3/26/2017 3:57 PM Isolation de la session 0 Introduction à la technologie Séparation des Services des sessions utilisateurs Le bureau est la frontière de sécurité pour les interfaces utilisateurs Windows Les services interactifs sont vulnérables à la compromission via Windows Messaging Actuellement les utilisateurs ne peuvent pas voir ni interagir avec l’interface utilisateur d’un service interactif de leur session © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Isolation de la session 0 Conseils d’implémentation
3/26/2017 3:57 PM Isolation de la session 0 Conseils d’implémentation Les services ne devraient JAMAIS ouvrir une fenêtre sur le bureau interactif Les services qui ont besoin d’une entrée utilisateur peuvent : Utiliser WTSSendMessage pour faire apparaître une simple boîte de message sur le bureau de l’utilisateur Injecter un processus dans la session cible en utilisant l’API CreateProcessAsUser © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Nouveautés Wi-fi dans Vista Objectifs
Sécurité Gestion Réduction des coûts Support des standards les plus sécurisés Protège des attaques les plus courantes Support des solutions de sécurité non standards Stratégies de groupes Ligne de commande Diagnostics : réduisent la charge du support Fiabilité améliorée grâce à l’architecture native Wi-fi

Nouveautés sécurité Niveau de standards de sécurité le plus élevé :
WPA2 (802.11i), WPA, 802.1x PEAP MSCHAPv2 (défaut dans Vista), PEAP-TLS, EAP-TLS Réseau ad-hoc sécurisé WPA2-PSK Expérience « Single Sign-On » Extensibilité EAPHost Permet des méthodes EAP tierces Gestion par stratégies de groupe et ligne de commande Support de Network Access Protection (NAP)

Vulnérabilités prises en compte
Liste des réseaux préférés non diffusée Utilisateurs novices protégés Réseaux non protégés clairement indiqués L’assistant de création d’un réseau choisit par défaut le niveau de sécurité le plus élevé en fonction de la carte Des réseaux et types de réseaux spécifiques peuvent être bloqués / autorisés

Stratégies de groupe Déploiement simplifié Gestion granulaire
Support d’environnements de sécurité Wi-fi mixtes Séparation du 802.1x sur câble et sans fil Gestion granulaire Listes autorisations / interdictions WPA2, WPA, WEP, EAP-TLS, PEAP-MSCHAPv2, etc. Support des réseaux cachés Connectivité manuelle / automatique Expérience utilisateur améliorée Extensibilité Pour les paramètres spécifiques aux fournisseurs de matériel

Ligne de commande Wired Commands add profile show profiles
Wireless Commands add profile add filter show profiles show filters show settings show interfaces delete profile delete filter set preferenceorder set autoconfig set blockednetworks export profile dump Wired Commands add profile show profiles show settings show interfaces delete profile set autoconfig export profile

Helper Class (L2Sec Helper Class) Event:
Diagnosis initiated at: 10\17\ :48:03 Interface Attribute Information: Interface Name: Dell TrueMobile 1150 … Connection Attribute Information: Profile Name: WLANDIAG Ssid = WLANDIAG, Ssid length = 8 Mode: Infrastructure Reset Counter: 1, Connection ID: 1 Security is ENabled for this profile Connection was attempted at: 10\17\ :47:41 Using Authentication Mode: Open Using Cipher: WEP Number of Security packets received: 0 Number of Security packets sent: 3 Status codes = : 0 : 0 802.1x protocol is enabled on this connection, EapType = 25 …. Pre-association succeeded Association succeeded Security was initiated at: 10\17\ :47:41 FAILed to receive, or set Unicast keys Security attempt FAILed, Last Error = Diagnosis Result: Confirmed Root-cause: No 802.1x authenticator found for this network Repair: Disable 802.1x protocol for this connection

Chiffrement de disque avec BitLocker
3/26/2017 3:57 PM Chiffrement de disque avec BitLocker Conçu spécifiquement pour empêcher un voleur qui démarrerait un autre OS ou exécuterait un outil de hacking pour casser les protections système et fichiers de Windows Fournit une protection des données sur les systèmes clients Windows, même quand le système est entre des mains non autorisées ou exécute un système d’exploitation différent Utiliser un module TPM 1.2 pour le stockage de clé Scénarios Vol de PC Déploiement serveur d’agence Recyclage de PC BitLocker © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Chiffrement de disque avec BitLocker Les concepts
3/26/2017 3:57 PM Chiffrement de disque avec BitLocker Les concepts Chiffrement de la partition entière au niveau secteur Protection des fichiers système et fichiers temporaires, des fichiers d’hibernation et de swap, etc… Authentification de l’OS par TPM permet l’accès à la clé de chiffrement TPM Version 1.2 La clé de chiffrement est scellée pour le loader autorisé Seul le « bon » OS peut déverrouiller l’accès Démarrage sécurisé (Secure Startup) Renforcement de la protection par deux facteurs TPM + code PIN TPM + clé USB Mode sans TPM Clé USB seule Protection des données en mode déconnecté, mais perte de la notion de Secure Startup © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Chiffrement de disque avec BitLocker
3/26/2017 3:57 PM Chiffrement de disque avec BitLocker Protection de la clé de chiffrement par TPM (Trusted Platform Module) seulement par TPM + code PIN par TPM + clé USB par clé USB seulement (machines sans TPM) © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Architecture des services TPM

Facilité d’utilisation vs sécurité
3/26/2017 3:57 PM Facilité d’utilisation vs sécurité ******* © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/26/2017 3:57 PM Chiffrement de disque avec BitLocker Clé de chiffrement et organisation du disque Clé de chiffrement SRK (Storage Root Key) dans le TPM VMK (Volume Master Key) chiffrée par la SRK VMK (protégée par SRK) réside sur la Partition de Boot Partitions Partition de boot – clair (350MO) Partition OS - chiffrée SRK VEK 1 2 Windows 3 Boot Partition de boot MBR (Master Boot Record), Loader, Boot Utilities, Clé VMK protégée © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Architecture SRTM des premiers composants de l’amorçage
3/26/2017 3:57 PM Architecture SRTM des premiers composants de l’amorçage © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Chiffrement de disque avec BitLocker Usage du TPM
Le démarrage sécurisé (Secure Startup) s’appuie sur le Static Root of Trust Measurement (SRTM) du TPM Fonction Extend L’authentification de l’OS est établie par la constitution d’empreintes du code dans les PCR (Platform Configuration Register) A la mise sous tension, les PCR sont initialisés à zéro La fonction Extend permet d’enrichir un PCR du condensé (hash) de sa valeur actuelle et des nouvelles données en entrée: le code à authentifier On « mesure » ainsi le code avant son exécution Chaque PCR est affecté à la mesure d’un bout de code de démarrage BIOS PCR Boot Sector PCR, etc… Fonctions Seal/Unseal Seal permet de chiffrer une donnée Unseal permet de déchiffrer une donnée si et seulement si le jeu des registres PCR auquel est associée l’opération sont positionnés à la même valeur que lors du Seal On ne peut desceller une clé qui si on a démarré le même OS © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Mesure de l’OS à l’aide du TPM
PCR[15] Initialisation des registres et transfert de l’exécution au Core Root of Trust Measurement Mesure du firmware dans PCR[0] et des données dans PCR[1] Hardware test and configuration Le code est d’abord mesuré, puis exécuté Le PCR s’enrichit du SHA-1 du texte en entrée Option ROMs et données dans PCR[2] et [3] MBR dans PCR[4], table des partitions PCR[5] PCR[14] PCR[13] PCR[12] PCR[11] PCR[10] PCR[9] PCR[8] Platform Configuration Registers PCR[7] PCR[6] PCR[5] PCR[4] PCR[3] PCR[2] PCR[1] PCR[0] © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Mesure de l’OS à l’aide du TPM
PCR[15] MBR prend le contrôle; charge le premier secteur de la partition de boot active en mémoire; mesure les premiers 512 octets dans PCR[8] Le secteur de Boot est mesuré dans PCR[9] puis exécuté Le code de BOOTMGR est mesuré dans PCR[10] puis exécuté Applications de démarrage additionnelles doivent être chargées à partir de la partition Bitlocker Finalement, BOOTMGR transfert le contrôle vers l’OS; l’OS vérifie alors l’intégrité des exécutables avant le transfert d’exécution PCR[14] PCR[13] PCR[12] PCR[11] PCR[10] PCR[9] PCR[8] Platform Configuration Registers PCR[7] PCR[6] PCR[5] PCR[4] PCR[3] PCR[2] PCR[1] PCR[0] © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Chiffrement de disque avec BitLocker Group Policy et récupération
Machine hors domaine Récupération se fait par mot de passe sur fichier/imprimante, ou par clé USB – L’utilisateur contrôle sa stratégie de récupération Machine dans un domaine Active Directory Group Policy permet de contrôler Activation de BitLocker Drive Encryption Sauvegarde du mot de passe de récupération dans AD La VMK est protégée Par le mécanisme principal TPM (y compris TPM+PIN) ou TPM+Clé USB Par les mécanismes de récupération Mot de passe Clé USB Les « blobs » sont stockés en tant que métadonnées sur la partition système (la partition non chiffrée)

Récupération du Secure Startup
3/26/2017 3:57 PM Récupération du Secure Startup © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

BitLocker Chiffrement de la partition
Chiffrement secteur par secteur Tailles 512, 1024, 2048, 4096, ou 8192 octets Avec une clé FVEK (Full Volume Encryption Key) 256 bits Protégée par la VMK Méthode AES 256 en mode CBC avec une diffusion supplémentaire

Partition Bitlocker vue d’un autre système d’exploitation
Windows XP Windows Vista (un autre que celui qui est protégé par Bitlocker) Linux

Partition BitLocker vue de Windows XP

Parition BitLocker vue d’un autre Windows Vista

Partition BitLocker vue de Linux
1 3 Linux Bitlocker volume errors 1.Fdisk reads partition table... thinks fve partition is ntfs 2. wrong fs type, bad option, bad superblock on /dev/sda2, missing codepage or other error 3. Primary boot sector is invalid, Not an NTFS volume 2

Améliorations d’EFS Sécurité étendue et scénarios de déploiement
3/26/2017 3:57 PM Améliorations d’EFS Sécurité étendue et scénarios de déploiement Support des clés privées stockées dans les cartes à puce Support du “re-keying” et de la migration SSO avec l’ouverture de session interactive Chiffrement côté client sur SMB (CIFS) Nouvelles stratégies de groupe pour la gestion en entreprise Notification de sauvegarde de clé et de certificat Assistant de diagnostic pour le dépannage Améliorations de la sécurité, performance et de la capacité de gestion © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

RMS, EFS et BitLocker Protection des données dans Windows Vista
3/26/2017 3:57 PM RMS, EFS et BitLocker Protection des données dans Windows Vista Définition et respect d’une politique Rights Management Services Chiffrement du système de fichiers par utilisateur Encrypted File System Chiffrement de disque basé sur le matériel BitLocker © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Quelle fonctionnalité utiliser ?
De qui cherchez-vous à vous protéger ? D’autres utilisateurs ou administrateurs de la machine ? EFS D’utilisateurs non autorisés avec un accès physique à la machine? BitLocker Scénarios BitLocker EFS RMS Portables X Serveur d’une succursale Protection locale de fichiers et dossiers pour un seul utilisateur Protection locale de fichiers et dossiers pour un plusieurs utilisateurs Protection distante de fichiers et dossiers Administrateur réseau de défiance Respect à distance de la politique pour un document Certains cas peuvent se chevaucher (par ex. plusieurs utilisateurs itinérants avec des administrateurs réseau de défiance)

Comparaison des technologies
3/26/2017 3:57 PM Comparaison des technologies BitLocker EFS RMS Chiffrement AES 128 Données Blocs Fichiers Défini par l’application; document ou Stockage de clés Identité TPM + logiciel, Dongle, Fichier Logiciel, carte à puce Logiciel obscurci Protège quoi ? Windows et données Répertoires et fichiers Confidentialité et usage des documents Protège qui ? Le propriétaire et l’utilisateur de la machine Les utilisateurs Les propriétaires de documents Gestion de clés TPM, Dongle Protection Locale, distante Distante Scénario type Portable perdu ou volé PC multiutilisateur Partage de document protégé Scenario type pour l’administrateur Bit Chipping Contrôle riche de l’usage d’EFS sur les PC de l’entreprise, via GPO Établir une politique d’entreprise de gestion de l’information L’admin peut tout ? Oui Non* Non Supporte d’autres mécanismes de sécurité Oui* Mécanisme de récupération de données Dongle, Fichier, AD, entrée manuelle de la clé Politique locale ou AD Politique du serveur RMS © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/26/2017 3:57 PM Support de la nouvelle cryptographie CNG – L’interface OCI (Open Cryptographic Interface) pour Windows Nouvelle infrastructure crypto remplaçant l’API CAPI 1.0 Possibilité d’insérer en mode noyau ou en mode utilisateur : Algorithmes cryptographiques propriétaires Remplacements des algorithmes cryptographiques standards Key Storage Providers (KSP) Permet la configuration de la cryptographie aux niveaux de l’entreprise et de la machine Conforme aux exigences des Critères Communs et de FIPS pour l’isolation forte et l’audit Support un surensemble des algorithmes compris dans CAPI, y compris la crypto à courbe elliptique (ECDH, ECDSA) et la conformité “Suite-B” Hashes: SHA-2 (256, 384, 512) Le sous-système pour cartes à puce supportera les cartes dual mode (RSA et ECC) © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Architecture WinLogon Windows XP
3/26/2017 3:57 PM Architecture WinLogon Windows XP Session 0 WinLogon LSA GP utilisateur Profils SCM GP machine MSGINA Shell Autres Sessions WinLogon GP utilisateur MSGINA Shell © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Architecture WinLogon Windows Vista
3/26/2017 3:57 PM Architecture WinLogon Windows Vista Session 0 LSA RCM WinInit Profils SCM Group Policy Autres Sessions WinLogon LogonUI Credential Provider 1 Credential Provider 2 Credential Provider 3 © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Credential Providers Les Credential Providers remplacent GINA
3/26/2017 3:57 PM Credential Providers Les Credential Providers remplacent GINA Les Credential Providers s’intègrent à Logon UI Logon UI peut interagir simultanément avec plusieurs credential providers Les Credential Providers peuvent être sélectionnés par l’utilisateur ou invoqués sur événement Par défaut : Mot de passe Carte à puce © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Credential Providers Exemple : mot de passe
3/26/2017 3:57 PM Credential Providers Exemple : mot de passe 1. Ctrl+Alt+Delete WinLogon 9. LSALogonUser LSA 2. Demande lettre de créance 8. Retourne lettre de créance 5. Clique et entre son nom d’utilisateur et son mot de passe, puis valide 4. Affiche interface graphique LogonUI Credential Provider Interfaces 6. Validation reçue 7. Obtention de la lettre de créance pour l’ouverture de session 3. Obtention des informations de lettre de créance Credential Provider 1 Credential Provider 2 Credential Provider 3 © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Cartes à puce Avant Applications Crypto (IE, Outlook)
3/26/2017 3:57 PM Cartes à puce Avant Applications Crypto (IE, Outlook) Applications non crypto CAPI SCard API Smart Card CSP #1 Smart Card CSP #2 Smart Card CSP #n Smart Card Resource Manager © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Carte à puce Désormais Applications Crypto (IE, Outlook)
3/26/2017 3:57 PM Carte à puce Désormais Applications Crypto (IE, Outlook) Applications Non Crypto CNG CAPI SCard API Smart Card KSP Base CSP Smart Card CSP ECC Card Module RSA/ECC Card Module RSA Card Module Smart Card Resource Manager © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Carte à puce Windows Vista permet l’utilisation des cartes à puce comme moyen unique d’authentification (élimination des mots de passe si vous le souhaitez)

3/26/2017 3:57 PM Améliorations PKI Permettre la mise en œuvre de scénarios d’applications de PKI de bout en bout Wi-Fi sécurisé, VPN, IPsec, EFS, ouverture de session par carte à puce, SSL/TLS, S/MIME et signatures numériques Étendre la gestion du cycle de vie des lettres de créance Montée en charge des services de révocation pour toutes les applications Client OCSP pour les services de révocation haut volume / grande vitesse Support de la cryptographie à courbes elliptiques (ECDH, ECDSA) et conformité “Suite-B”, hashes SHA-2 (256, 384, 512) 128 © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Excellence de l’ingénierie Protection fondamentale
3/26/2017 3:57 PM Windows Vista Excellence de l’ingénierie Construit en tenant compte de la sécurité Protection fondamentale Protection contre les menaces de sécurité et réduction des risques d’interruption de l’activité Accès sécurisé Permet un accès plus simple et plus sécurisé aux informations et services Contrôle intégré Fournit des outils intégrés de gestion et de supervision centralisée 129 © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Synthèse sécurité Windows Vista
3/26/2017 3:57 PM Synthèse sécurité Windows Vista Excellence de l’ingénierie Démarrage plus sécurisé BitLocker Drive Encryption Code Integrity Exécution plus sécurisée User Account Protection Mode protégé d’IE & Anti-Phishing Durcissement des services Credential Manager/Provider Protection fondamentale Communication plus sécurisée Network Access Protection Intégration pare-feu /IPsec Nouvelle Cryptographie Accès sécurisé Demeurer plus sécurisé Anti-logiciels malveillants Restart Manager Contrôle de l’installation des périphériques Infrastructure étendue pour cartes à puce Contrôle intégré 130 © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/26/2017 3:57 PM © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY. 131 © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

L’informatique de confiance
3/26/2017 3:57 PM L’informatique de confiance Rendre l’informatique aussi simple et fiable que l’eau ou l’électricité Une priorité absolue pour Microsoft Nécessite l’adhésion et l’implication de toute l’industrie informatique Changement culturel : privilégier la sécurité par rapport aux fonctionnalités © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Protéger contre les attaques
3/26/2017 3:57 PM Protéger contre les attaques Protéger la confidentialité, l’intégrité des données et des systèmes Gérable Protéger de la divulgation non désirée d’informations Control du caractère privé de l’information Les produis, les services adhèrent à des principes de loyauté en matière d’information Prévisible, cohérent et disponible Facile à configurer et à gérer Résilient Récupérable Prouvé Interactions ouvertes et transparentes avec nos clients Leadership au sein de l’industrie Adhésion aux standards ouverts © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

La vision de Microsoft de la sécurité …
3/26/2017 3:57 PM La vision de Microsoft de la sécurité … Etablir la en l’informatique afin de permettre la réalisation du plein potentiel d’un monde interconnecté CONFIANCE © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Les axes de focalisation
3/26/2017 3:57 PM Les axes de focalisation Stratégie Une plateforme sécurisée renforcée par des produits de sécurité, des services et des conseils permettant d’aider nos clients à rester hors de danger Investissements technologiques Conseils prescriptifs Partenariats Excellence dans les fondamentaux Innovations en sécurité Contenu et outils basés selon des scénarios Réponse aux incidents Prise de conscience et éducation Collaboration et partenariat © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Investissements technologiques
3/26/2017 3:57 PM Investissements technologiques Contrôle d’accès et d’identité Atténuation des menaces et des vulnérabilités Fondamentaux © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

GPO sélection de nouveautés intéressantes
Désactiver la stratégie de groupe locale Actions en cas d’horaire d’utilisation dépassé Gestion des versions précédentes (shadow copies) Carte à puce Stratégie de sauvegarde Chiffrement de disque Windows Defender (vérifier si nouvelles signatures avant analyse) DIMS + PKI IE IE Maintenance Interdire tous les logiciels complémentaires sauf s’ils sont dans la liste de ceux autorisés Ajout de fournisseur de recherche (liste spécifique) Désactivation de la vérification des paramètres de sécurité Désactivation de la correction des paramètres de sécurité Activation de la journalisation de compatibilité Interdiction de ne pas tenir compte des erreurs de certificats Zone intranet Niveau de sécurité RDP (TLS ou pas) Restrictions sur l’installation de périphériques Services TPM (dont sauvegarde dans AD) Prévenir quand le serveur d’authentification n’était pas disponible lors de l’ouverture de session Afficher le dernier logon BITS (peer caching) Journal des événements

Centre de sécurité 3/26/2017 3:57 PM

Les difficultés et problèmes courants avec Windows XP
3/26/2017 3:57 PM Les difficultés et problèmes courants avec Windows XP Permissions Driver Store Distribution Driver Package Integrity Corporate Driver Deployment Devices/Drivers and “Locked-down Clients” Group Policies for Device Install Driver Store Policies © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Aperçu Driver Store Driver Package Integrity
3/26/2017 3:57 PM Aperçu Driver Store Un référentiel privilégié de pilotes sur chaque machine Windows Vista Driver Package Integrity Signature numérique des pilotes pour la machine locale ou pour le déploiement dans l’entreprise Corporate Driver Deployment Support de pilotes de 3ces parties avec les images systèmes, API pour le Driver Store, et un utilitaire en ligne de commande Group Policy for Device Install Stratégies de groupe pour bloquer l’installation de tout périphérique non approuvé Driver Store Policies Politiques qui déterminent quels driver packages peuvent être placés dans le Driver Store par des utilisateurs non administrateurs – par ex. des commerciaux itinérants utilisateurs de portables © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Déploiement de pilote en entreprise
3/26/2017 3:57 PM Déploiement de pilote en entreprise API Driver Store Les applications de déploiement en entreprise peuvent ajouter, inventorier, supprimer des packages de pilotes du Driver Store sur chaque client Windows Vista Peut être utilisé par des applications de distribution de logiciels comme SMS, Tivoli, WSUS Recherche récursive de packages de pilotes en PnP Les administrateurs peuvent mettre en place leur propre partage de fichiers sur le réseau (\\drivers\ partage) DevCon Un utilitaire en ligne de commande qui peut ajouter des pilotes au driver store, installer, faire un inventaire (limité) et désinstaller des pilotes Support des pilotes par l’Assistant Gestion d’installation Ajout de pilotes de 3ces parties directement dans l’image de préchargement de l’OS Support de sysprep et unattend.XML Ajout de pilotes aux côtés de l’image de l’OS via un répertoire ou un partage de fichiers © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Vista service changes Services common to both platforms
3/26/2017 3:57 PM Vista service changes Services common to both platforms Windows XP SP2 LocalSystem Wireless Configuration System Event Notification Network Connections (netman) COM+ Event System NLA Rasauto Shell Hardware Detection Themes Telephony Windows Audio Error Reporting Workstation ICS RemoteAccess DHCP Client W32time Rasman browser 6to4 Help and support Task scheduler TrkWks Cryptographic Services Removable Storage WMI Perf Adapter Automatic updates WMI App Management Secondary Logon BITS Network Service DNS Client Local Service SSDP WebClient TCP/IP NetBIOS helper Remote registry Vista client LocalSystem Firewall Restricted Removable Storage WMI Perf Adapter Automatic updates WMI App Management Secondary Logon LocalSystem Demand started BITS Network Service Fully Restricted DNS Client ICS RemoteAccess DHCP Client W32time Rasman browser 6to4 Task scheduler IPSEC Services Server NLA Network Service Network Restricted TrkWks Cryptographic Services Local Service No Network Access Wireless Configuration System Event Notification Network Connections Shell Hardware Detection Rasauto Themes COM+ Event System Local Service Fully Restricted Telephony Windows Audio TCP/IP NetBIOS helper WebClient SSDP Error Reporting Event Log Workstation Remote registry © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Security Holes Increase Windows Client TCO
3/26/2017 3:57 PM Pourquoi UAC ? Managed Desktops: Systematic control over end-user clients to maintain security & productivity Gartner: Nearly 40% TCO Savings per desktop in a managed environment Reduces day-to-day helpdesk calls Increases end-users productivity/uptime Security Holes Increase Windows Client TCO 14 October 2004 © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Crypto Next Generation Three layers of plug-ins
3/26/2017 3:57 PM Crypto Next Generation Three layers of plug-ins Protocol Providers Applications Symmetric Crypto Router Hash Router Asymmetric Crypto Router Signature Router Key Exchange Router RNG Router Key Storage Router Primitive Providers Key Storage Providers © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

X.509 Enrollment Classes Class diagram overview
3/26/2017 3:57 PM X.509 Enrollment Classes Class diagram overview Request Classes Crypto Classes Attribute Classes IDispatch IDispatch IDispatch ICspAlgorithm IX509Attribute IX509CertificateRequest ICspAlgorithms IX509Extension IX509CertificateRequestPkcs10 ICspInformation IX509ExtensionKeyUsage IX509CertificateRequestCertificate IX509ExtensionEnhancedKeyUsage IX509CertificateRequestPkcs7 ICspInformations IX509ExtensionTemplateName IX509CertificateRequestCmc IcspStatus IX509ExtensionTemplate ICspStatuses Enrollment Classes IX509Attributes IDispatch IX509PublicKey IX509AttributeExtensions IX509Enrollment IX509PrivateKey IX509Enrollments ICryptAttribute IX509EnrollmentStatus ICryptAttributes © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Règle de pare-feu Windows Vista
Do Action = {By-pass | Allow | Block} if: Protocol = X AND, Direction = {In | Out} AND, Local TCP/UDP Port is in {Port List} AND Remote TCP/UDP Port is in {Port List} AND ICMP Type Code is in {ICMP Type-Code List} AND Interface NIC is in {Interface ID list} AND, Interface type is in {Interface types list} AND, Local Address is found in {Address list} AND, Remote Address is found in {Address list} AND, Application = <Path> AND, Service SID = <Service Short Name> AND, Require Authentication = {TRUE | FALSE} AND, Require Encryption = {TRUE | FALSE} AND, Remote User has access in {SDDL} AND, Remote Computer has access in {SDDL} AND, OS Version is in {Platform List}

Liens Pare-feu Windows Vista UAC

Nouveautés de sécurité de Windows Vista

Présentations similaires

Présentation au sujet: "Nouveautés de sécurité de Windows Vista"— Transcription de la présentation:

Présentations similaires

Notre projet

Feed-back

Entrer

S'autoriser via un réseau social:

Nouveautés de sécurité de Windows Vista

Présentations similaires

Présentation au sujet: "Nouveautés de sécurité de Windows Vista"— Transcription de la présentation:

Présentations similaires

Notre projet

Feed-back