Windows 8 et la sécurité

1 410 vues

Publié le

Windows 8, en matière de sécurité, prend le parti de l’innovation en commençant par se débarrasser de certains de ses oripeaux : c’est notamment le cas avec le BIOS qui fait la place à UEFI. Un autre élément important de la sécurité de Windows 8 est le support de TPM.Next, les nouvelles spécifications du TCG. Windows 8 mise donc de manière délibérée sur les améliorations du hardware afin de faire progresser la sécurité. En ancrant la confiance dans le hardware. Mais Windows 8 se veut aussi un acteur engagé de la mobilité, y compris dans des scénarios innovants comme ceux promus par le phénomène de la consumérisation de l’informatique. Windows 8 (et son compagnon d’aventure, Windows Server 2012) innovent dans ce domaine à travers le support natif des revendications et celui du contrôle d’accès dynamique. L’objectif de cette session est de faire le point sur les principales nouveautés de Windows 8 en matière de sécurité

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
1 410
Sur SlideShare
0
Issues des intégrations
0
Intégrations
3
Actions
Partages
0
Téléchargements
68
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Windows 8 et la sécurité

  1. 1. Windows 8 et la Sécurité Bernard Ourghanlian CTO & CSO Microsoft FranceServeurs / Entreprise / Réseaux / IT
  2. 2. Avertissement• De nombreuses nouvelles fonctionnalités de sécurité de Windows 8 ne seront pas abordées ici faute de temps – merci de bien vouloir m’en excuser• Des éléments complémentaires sont présentés notamment pendant les sessions : – Le modèle de sécurité des Windows Apps (SEC313) – Mécanismes internes de la sécurité de Windows 8 (CLI301)
  3. 3. Sommaire• Windows 8 : évolution de l’infrastructure en matière de sécurité• Windows 8 : contrôle d’accès dynamique et classification des données• Windows 8 : les fondamentaux 3
  4. 4. EVOLUTION DE L’INFRASTRUCTURE DE SECURITEWindows 8 : évolution de l’infrastructure en matière de sécuritéWindows 8 : contrôle d’accès dynamique et classification des donnéesWindows 8 : les fondamentaux 4
  5. 5. Infrastructure : nouveautés sécurité de Windows 8 Résistance contre les malwares Protéger le terminal, les données et les Protéger ressources de l’organisation en rendant le contre et gérer les menaces terminal sécurisé par défaut et moins vulnérable aux effets du malware Chiffrement omniprésent des terminauxProtéger les données Simplifier la gestion du provisionnement et de la sensibles conformité des volumes chiffrés sur un plus large ensemble de types de terminaux et de technologies de stockage Protéger Contrôle d’accès moderne pour des modes de l’accès aux ressources travail flexibles Moderniser le contrôle d’accès et la gestion des données tout en augmentant la sécurité des données au sein de l’organisation 5
  6. 6. Résistance au malware : les problèmes• Un malware peut compromettre le processus de boot et l’intégrité de Windows• Un malware peut se dissimuler de Windows et des logiciels anti-malware• Un malware peut se charger avant le logiciel anti-malware et mettre ce dernier hors service• L’antivirus est toujours à la traine derrière le dernier malware 6
  7. 7. Résistance au malware : boot sécurisé etévalué• Boot sécurisé – Protection de bout en bout du processus de boot • OS loader Windows • Fichiers système de Windows et pilotes de périphériques • Logiciel anti-malware – Fait en sorte d’empêcher • Le démarrage d’un système d’exploitation compromis • Un logiciel de démarrer avant Windows • Un logiciel tiers de démarrer avant l’anti-malware – Permet une remédiation automatique et l’auto-guérison
  8. 8. Windows 8 tire parti des évolutions du hardware Universal Extensible Firmware Interface (UEFI) • Une évolution majeure du BIOS traditionnel • Une solution indépendante de l’architecture conçue pour tous les facteurs de forme • Fournit le support pour de nouvelles possibilités en termes de sécurité tel que le boot sécurisé Trusted Platform Module (TPM) • Un processeur de chiffrement de sécurité inviolable conçu pour effectuer des opérations de chiffrement • TPM v.Next (2.0) a été conçu pour adresser les besoins de certains pays et les préoccupations en termes de coûts • Peut être implémenté sous forme d’un composant discret ou au sein du firmware sur un SOC
  9. 9. Pourquoi UEFI ?• Bénéfices clés pour la sécurité – Boot sécurisé – Support eDrive pour BitLocker – Support du déverrouillage réseau pour BitLocker – Support multicast pour WDS• Une exigence pour obtenir le logo Windows• Autres bénéfices – Support SOC (ARM et Intel) – Meilleure expérience utilisateur • Boot rapide, logo de l’OEM, pas de nécessité de flashage arrière, etc. – Support des disques système de plus de 2,2 To – Boot « sans couture » (graphique UEFI)
  10. 10. Evolution du TPM• Proposition de valeur du TPM – Permet la mise en place d’une sécurité de qualité commerciale via l’isolation des clés physiques et virtuelles de l’OS – Spécification 1.2 : standard mature, des années de déploiement et de renforcement de la sécurité – Des améliorations dans le provisionnement du TPM en ont abaissé la barrière du déploiement• Evolution du standard du TCG : TPM v.Next (2.0) – Extensibilité algorithmique permettant la mise en œuvre et le déploiement dans des pays supplémentaires (remplacement des algorithmes de chiffrement) – Les scénarios de sécurité sont compatibles avec TPM 1.2 ou 2.0• Windows 8 : Support de TPM 2.0 permettant le choix d’implémentation – TPM discret – TPM en firmware (ARM Trustzone, Intel Platform Trust Technology (PTT)) – Exigence pour le logo Windows pour AOAC (Always-On Always Connected) seulement
  11. 11. Séquence de boot traditionnelle (avec injection demalware) Noyau Drivers MBR et OS Windows Démarrag tiers Login BIOS Boot Loader et e Anti- (Malware malware Windows Sector (Bootkit) Drivers ) (Rootkit)Séquence de bootWindows 8 OS Early Noyau Loader Load Drivers Login Attestatio UEFI Windows n distante Windows Anti- tiers Windows et Drivers 8 Malware
  12. 12. Boot sécurisé : BIOS vs. UEFI Les processus de Tout code d’OS Démarrage de BIOS boot existants Loader l’OS • Le BIOS lance n’importe quel OS loader, même du malware • Maintenant le firmware rend obligatoire la politique de sécurité et ne lance que des OS loaders dignes de confiance • L’OS loader rend obligatoire la vérification de signature des composants chargés ultérieurement OS Loader Boot sécurisé Démarrage de UEFI 2.3.1 natif vérifié l’OS Windows 8 seulement • UEFI ne lancera qu’un OS Loader vérifié • En substance, un malware ne peut remplacer le boot loader
  13. 13. Early launch anti-malware (ELAM) Processus de Tout Tout Logiciel Windows BIOS code de driver Anti- Logon boot existants Loader tiers Malware Processus de OS Drivers Windows UEFI Natif ELAM tiers Logonboot Windows 8 Loader Politique rendue obligatoire • Le boot driver Anti-Malware est signé de manière spécifique • Windows démarre le logiciel ELAM avant tout autre boot driver tiers • Le driver ELAM peut rendre obligatoire la politique, même pour des boot start drivers • Les malwares de type rootkit ne peuvent désormais plus contourner l’inspection anti-malware 13
  14. 14. Boot mesuré avec attestation Processus de OS Initialisation Drivers Anti- boot BIOS Loader du Kernel tiers Malware existant TPProcessus de M Initialisati OS Drivers boot UEFI on du ELAM Attestation Loader tiers Windows 8 Kernel Politique rendue obligatoire• Des clients post-boot peuvent utiliser des mesures signées par le TPM pour prouver l’état initial du système et du logiciel ELAM• Le logiciel ELAM peut invalider les déclarations sur l’état de santé du client si le client arrête de rendre obligatoire la politique de sécurité (i.e. ne fournit plus de mises à jour de signature ou exécute un logiciel inconnu)
  15. 15. Sécuriser le terminal – Protéger contre les menaces Les évaluations des Politique de Boot UEFI Boot composants yLe boot compris le logicielsécurisé évite AM sont stockés 1les OS Loader dans le TPMmalfaisants Windows TPM Politique AM 3 OS Loader Le terminal retrouve Noyau Windows et pilotes Logiciel AM les évaluations par le 4 TPM de l’état du terminal à la 2 demande Logiciel tiers La logiciel anti- malware est lancé avant tous les Service Windows Logon Terminal d’attestation logiciels tiers Revendication de la santé du terminal
  16. 16. Sécuriser le terminal lors du boot : enrésumé Boot Sécurisé • Evite ou détecte les tentatives de malware d’altérer le hardware d’un terminal ou son système d’exploitation • S’assure que le logiciel anti-malware est toujours dipsonible et non altéré • Détecte automatiquement et répare le système contre l’intrusion de malware sans interaction avec l’utilisateur • Fournit une protection avancée en tirant parti du hardware de sécurité et de la racine de confiance que permet ce dernier Boot évalué • Utilisé pour évaluer l’intégrité des logiciels Windows et anti-malware • Service d’attestation distant qui peut analyser les évaluations d’intégrité qui sont effectuées par le boot évalué • Aide à empêcher les systèmes compromis d’accéder aux ressources de l’entreprise • Services d’attestation distants pouvant être proposés par des tiers
  17. 17. Détection intégrée de malware 1. Microsoft Defender est le composant au cœur de la défense anti-malware de Windows 8 fournissant la détection basée signature et de comportement duProtection contre Defender Offlineles vulnérabilitésDétection basée depuis le Cloud comportement malware à la fois de façon passive (analyse Détection de Restauration Dynamique Traduction Signature périodique) et active (surveillance de Defender / System comportement) Center Endpoint 2. En service par défaut et configuré à travers l’Action Center sur Windows 8. Si un utilisateur installe une Protection solution anti-malware tierce, alors Defender est mis Plateforme Antimalware hors service. Si la solution tierce devient inactive souvent en raison de l’expiration de l’essai), après Protections Mémoire et Processus 15 jours l’utilisateur est progressivement (ASLR, DEP, AppLocker, SmartScreen, etc.) encouragé à remédier à la situation, y compris par Plateform Windows la réactivation automatique de Defender Early Launch Antimalware e 3. Les entreprises peuvent utiliser des solutions 8 Protections de l’intégrité du Boot tierces ou System Center Endpoint Protection qui fournit le support d’une gestion basée sur des politiques et la génération de rapports consolidés. Le cœur du moteur anti-malware est le même.
  18. 18. Pare-feu pour restriction de traffic entrant etsortant• Différences fonctionnelles limitées entre Windows 7 et Windows 8. Changement : – Support de IKEv2 pour le mode transport IPSec – Utilisation de cmdlets Powershell pour la configuration – Règles pour les Windows Store Apps• 3 profils clé : Domain, Public et Private. Plusieurs profils peuvent être actifs simultanément, c’est-à-dire qu’un utilisateur peut être sur un hotspot Wi-Fi (profil Public) tout en étant connecté à un VPN (profil Domain)• Points clés de configuration à noter : – Le filtrage sortant permet tous les accès par défaut – La journalisation est hors service par défaut
  19. 19. Pare-feu pour restriction de trafic entrant etsortant• Windows Firewall with Advanced Security peut aussi être utilisé pour configurer comment et quand l’authentification doit survenir• Ces paramétrages sont beaucoup plus importants avec Windows 8 car ils sont essentiels pour IPSec et DirectAccess• Notez au passage, qu’ils n’autorisent ni n’interdisent une connexion – c’est le travail des règles du pare-feu Restreint en fonction de critères comme l’auth. Isolation Kerberos Auth exemption Ne requiert pas d’auth. entre les hôtes spécifiques Server-to-server Auth. requise entre les hôtes spécifiques Tunnel Force l’utilisation d’un tunnel Custom Rule Aucun des précédents
  20. 20. Isoler les Windows Store Apps avecWindows Firewall with Advanced Security• Les développeurs de Windows Store Apps peuvent déclarer certaines capacités de leurs apps (capabilities) pour les classes d’accès réseau requises par l’App en question• Quand l’App est installée, des règles approximatives du pare-feu sont créées automatiquement pour permettre l’accès• Les administrateurs peuvent alors personnaliser la configuration du pare-feu pour raffiner cet accès s’ils désirent davantage de contrôle sur l’accès réseau pour l’App. Important – la capacité n’est pas contrôlée par les règles du pare- feu elles-mêmes• Les politiques de groupe peuvent configurer ces restrictions sur une base par App ou par capacité• Ces frontières réseau aident à assurer que les Apps qui ont été compromises peuvent seulement accéder les réseaux auxquels elles ont explicitement reçu l’accès . Ceci réduit de manière significative le périmètre de leur impact sur les autres Apps, l’ordinateur et le réseau. De plus, les Apps peuvent être isolées et protégées d’un accès malfaisant depuis le réseau
  21. 21. Isoler les Windows Store Apps (suite) Fournis l’accès entrant et sortant aux réseaux intranet que l’utilisateur a désigné comme un réseau « home » ou « work », ou, si le réseau a un contrôleur de domaine authentifié, l’accès entrant aux ports critiques est toujours bloqué Fournit l’accès sortant à l’Internet et aux réseaux indignes de confiance (par exemple, les réseaux intranet où l’utilisateur a désigné le réseau comme « Public »). La plupart des Apps qui requièrent un accès Internet utilisent cette capacité Fourni l’accès entrant et sortant à l’Internet et aux réseaux indignes de confiance. Cette capacité est un sur-ensemble de la capacité Internet (Client). L’accès entrant aux ports critiques est toujours bloqué. Fournit une communication near-field communication (NFC) avec les terminaux qui sont en proximité de l’ordinateur. « Proximity » peut être utilisé pour envoyer des fichiers ou se connecter à une application sur un terminal
  22. 22. Sécurisation des Apps• La sécurisation des Apps avec, en particulier, la notion d’AppContainer est présentée en détail dans la session SEC313
  23. 23. Sécuriser les connexions – Contrôle d’accèsmoderne Authentification avec cartes à puce virtuelles • Manière facile à déployer et peu coûteuse de mettre en place une authentification à plusieurs facteurs • Fournit une expérience « sans couture » et toujours prête pour les utilisateurs finaux • Tire parti du hardware de sécurité qui est inclus dans de nombreux terminaux Direct Access • Toujours connecté. Si vous êtes sur Internet, vous êtes sur le réseau d’entreprise • Connectivité sécurisée de bout en bout avec chiffrement fort • Options d’authentification flexibles à un ou plusieurs facteurs • Assure la conformité de l’état de santé du poste avant l’accès au réseau d’entreprise • Fournit les correctifs quand les postes sont connectés à l’Internet • Déployé facilement et sans changement au sein de l’infrastructure réseau existante
  24. 24. Contrôle d’accès moderne• Problème – L’authentification multi-facteur est difficile à mettre en œuvre en raison des défis en termes de provisionnement, du coût et du support• Besoin Windows 8 – Fournir de nouvelles formes d’authentification de telle façon que l’authentification multi-facteur puisse être plus largement adoptée
  25. 25. Authentification basée sur un TPM ENTREPRISE CONSOMMATEUR• Besoins • Besoins – La machine et l’identifiant de – Une banque doit « connaitre » son client en utilisant une méthode disponible sur l’utilisateur utilisent des certificats le marché afin de remplir, par exemple, protégés par le hardware sans les exigences de la FFIEC (Federal nécessiter des périphériques Financial Institutions Examination séparés Council) - US• Scénarios clés • Scénarios clés – Authentification des utilisateurs – Certificat utilisateur lié au TPM pour les accès distants – Authentification utilisateur plus forte sans nécessiter le besoin de mots de – Signature d’email/document passe complexes ou de second facteur – Authentification forte des machines externe sur le réseau
  26. 26. Nouveau mécanisme d’authentification• Le Windows Smartcard Framework a été étendu pour supporter les TPM• Permet à des terminaux que l’utilisateur utilise déjà (PC) d’être utilisés comme des cartes à puce virtuelles• Le TPM protège la carte à puce virtuelle et interdit l’export de certificat
  27. 27. Cartes à puce virtuelles : une option pourune authentification à 2 facteurs• Fournit les trois fonctions les plus importantes des cartes à puce – Interdiction de l’exportation – Chiffrement isolé – Protection contre les attaques• Pas de coût en dehors du fait d’avoir un poste muni d’un TPM• Facile à utiliser, difficile à voler• Authentification à 2 facteurs
  28. 28. Comparaison techniqueCartes à puce Cartes à puce virtuelles (TPM)Protège les clés privées en utilisant un dispositif de Protège les clés privées en utilisant un dispositif dechiffrement intégré dans la carte à puce chiffrement intégré dans la carte à puce virtuelleStocke les clés privées dans une zone mémoire non Stocke les clés privées sur le disque dur, envolatile de la carte, accessible uniquement depuis n’utilisant leur forme déchiffrée que sur le TPM lui-la carte mêmeNon export garanti par le fabricant de la carte qui Non export garanti par le fabricant du TPM quipeut revendiquer l’isolation des informations peut revendiquer l’impossibilité pour un adversaireprivées des accès de l’OS de répliquer ou de supprimer le TPMLes opérations de chiffrement sont effectuées et Les opérations de chiffrement sont effectuées etisolées au sein de la carte isolées au sein du chip TPM sur le poste de l’utilisateurLa protection contre les attaques est fournie par la La protection contre les attaques est fournie par lecarte elle-même TPM
  29. 29. Comparaison fonctionnelleCarte à puce Carte à puce virtuelle (TPM)L’utilisateur doit disposer de sa carte à puce et de Les crédentités ne peuvent être exportés depuis unson lecteur pour accéder à une ressource réseau poste donné, mais elles peuvent être réémises pour le même utilisateur sur un autre posteLa portabilité des crédentités est obtenue en Stocke les clés privées sur le disque dur, eninsérant la carte à puce dans un lecteur sur un n’utilisant leur forme déchiffrée que sur le TPM lui-autre poste mêmePlusieurs utilisateurs peuvent accéder à des Plusieurs utilisateurs peuvent accéder auxressources réseau sur la même machine en insérant ressources réseau depuis la même machine chacunchacun leur carte à puce personnelle d’entre eux se voyant doté d’une carte à puce virtuelle sur cette machine
  30. 30. Comparaison en termes de sécuritéCarte à puce Carte à puce virtuelle (TPM)La carte est conservée par l’utilisateur, ce qui rend La carte est stockée sur l’ordinateur de l’utilisateurles scénarios d’attaque difficiles sur le plan qui peut être laissé seul ou oublié, ce qui augmentelogistique la fenêtre de risque pour une attaqueLa carte à puce est généralement utilisée pour un La carte à puce virtuelle est installée sur unseul scénario, ce qui peut entrainer son oubli ou sa terminal qui a d’autres utilités pour l’utilisateurperte dont la responsabilité est donc plus fortement sollicitéeSi la carte est perdue ou volée, l’utilisateur ne La carte à puce virtuelle est installée sur unremarquera son absence que s’il a besoin de se terminal et est utilisée pour d’autres buts ; sa perteconnecter sera donc remarquée plus rapidement
  31. 31. Utilisation pour l’authentification• Authentification à deux facteurs pour l’accès distant – L’accès au domaine (comme chez Microsoft) – Très semblable à une carte à puce bien que celle-ci soit toujours insérée – on doit seulement saisir le code PIN• Authentification du client – Via SSL ou quelque chose de ressemblant – Utilisation potentielle au sein de banques, ressources de l’organisation accessibles via un navigateur, etc.• Redirection de la carte à puce virtuelle pour les connexions distantes – Utilisation d’une carte à puce virtuelle locale sur une machine distante – Les crédentités peuvent être utilisées comme si elles avaient été créées sur le PC distant
  32. 32. Utilisation pour la protection• Chiffrement des mails via S/MIME – Comme les cartes conventionnelles, les cartes virtuelles détiennent des clés qui peuvent être utilisées pour le chiffrement et le déchiffrement des mails – Le chiffrement / le déchiffrement est effectué au sein du TPM, donc plus sécurisé que les autres modes de stockage de clés• BitLocker pour les volumes de données – Les clés utilisées par BitLocker peuvent être stockées sur des cartes à puce virtuelles – Donc, pour accéder au volume, ce dernier ne peut être retiré de la machine originelle et l’utilisateur doit connaitre le code PIN de la carte à puce virtuelle – A la fois le disque local et le disque portable (pour les sauvegardes) peuvent être chiffrés
  33. 33. Sécuriser les ressources – Protéger les donnéessensiblesBitLocker to GoBitLocker et Provisionnement amélioré •Processus de paramétrage intégré du chiffrement BitLocker qui simplifie le provisionnement de postes sécurisés •Bien meilleures performances qui améliore de façon spectaculaire le temps de provisionnement d’un poste (min vs. h.) •Provisionne BitLocker sur n’importe que terminal ayant le logo Windows sans restrictions régionales Protection de volume pour l’entreprise •Options flexibles de protection de volume et amélioration de la sécurité sur les disques Windows 8 afin d’améliorer l’expérience des utilisateurs finaux •Nouvelles options de protection pour que BitLocker soit utilisé sur un ensemble plus large de clients et de serveurs Prêt pour les serveurs •Permet le chiffrement de volumes sur les SAN •Supporte la protection de volumes sur des serveurs en cluster •Supporte l’authentification multi-facteur en mode inattendu Amélioration de la performance •Amélioration de la performance système à travers l’utilisation des Self Encrypting Drives (SED) (eDrive) •Améliore de façon spectaculaire le temps pris pour chiffrer les nouveaux volumes (minutes vs. heures)
  34. 34. Chiffrement omniprésent• Difficultés actuelles – Quand on provisionne un nouveau poste, le processus de chiffrement peut prendre plus d’une heure – Le chiffrement effectué en logiciel a un impact sur la performance globale du système et la durée de la batterie • Windows ne supporte pas les disques auto-chiffrants qui résolvent ce problème et sont disponibles aujourd’hui – Les PC qui sont patchés et nécessitent un redémarrage sont incapables de démarrer en mode « inattendu » quand on utilise un code PIN – Tous les PC ne sont pas équipés de TPM – Il est nécessaire de requérir le chiffrement avant de donner accès à l’email• Les exigences de Windows 8 – Un large support pour le chiffrement des disques sur toutes les architectures matérielles – Réduire le temps pour chiffrer un nouveau PC – Améliorer les performances du système et la durée de la batterie – Supporter un vaste ensemble de périphériques de stockage et de configurations (eDrives, SAN, Clusters,…) – Améliorer le processus de patching quand un 2ème facteur d’authentification peut être utilisé – Supporter à la fois les TPM discrets et ceux basés sur le firmware (UEFI)
  35. 35. Amélioration du provisionnement• Support par BitLocker du Trusted Platform Module (TPM) – Support pour TPM v1.2 et v2.0 – Support pour des TPM discrets et en firmware – L’installation de Windows provisionnera un firmware basé sur le TPM pour les machines qui supportent des environnements d’exécution sécurisés (ARM TrustZone; Platform Trust Technology (PTT) Intel)• La flexibilité des options de chiffrement améliore le processus de provisionnement – Chiffrement de l’espace disque utilisé seulement ou le disque entier – Pré-provisionnement du PC avec BitLocker avant de procéder à l’installation de Windows 48
  36. 36. Nouvelles options pour les protecteursVolume de l’OS Voumes de données Volumes amoviblesTPM seul Password Protector Password ProtectorTPM+PIN Smartcard Protector Smartcard ProtectorTPM+StartupKey Compte AD ou Groupe Compte AD ou GroupeTPM+PIN+StartupKey (nouveau) (nouveau)StartupKey Protector Public Key Protector (DRA – Data Public Key Protector (DRA – DataNetwork Protector (nouveau) Recovery Agent) Recovery Agent)Password Protector (nouveau)Public Key Protector (DRA – DataRecovery Agent) • Password Protector (volume de l’OS) – Permet l’utilisation d’un mot de passe sur le volume de l’OS. Utile pour les postes sans TPM • Network Protector – Permet à des PC connectés au réseau de l’organisation de booter sans PIN – Simplifie le processus de patch pour les serveurs et les postes, wake on LAN, facilite l’usage pour les utilisateurs finaux • Active Directory Account/Group Protector – Permet à un volume de données d’être déverrouillé quand un utilisateur ou un compte de machine accède le volume
  37. 37. Nouvelles options de protecteur : NetworkProtector• Les possibilités et le comportement du Network Protector – Utilise en combinaison avec TPM + PIN – PIN non nécessaire si le boot a lieu quand on est connecté au réseau d’entreprise – PIN nécessaire si le boot a lieu quand on n’est pas connecté au réseau d’entreprise• Exigences – Client – TPM, UEFI 2.3.1 avec support pour DHCPv4 et DHCPv6 (exigence pour le logon Windows 8), port LAN connecté – Serveur – Windows Server 2012 avec Windows Deployment Services (WDS)• Processus de boot réseau – Le PC boote et utilise DHCP pour contacter un serveur WDS si une connexion cablée existe – Si le serveur WDS est disponible, le client requiert une clé depuis le serveur WDS ; si non un code PIN est nécessaire – Le serveur WDS valide le client et envoie une clé de déverrouillage au client à travers le réseau – Le client reçoit la clé et déverrouille le volume de l’OS Windows. Le système boote 50
  38. 38. Récupération du volume client • Options de sauvegarde de la clé de recouvrement Windows 7 Windows 8 Active Directory Active Directory Clé USB Clé USB Impression Impression Data Recovery Agent Data Recovery Agent Skydrive (nouveau)• Recouvrement de volume via Skydrive • Utilisé pour des machines non jointes au domaine • Séquestre les clés pour les volumes OS, données, et amovibles • Skydrive dispose d’une interface utilisateur qui fournira l’accès aux clés de recouvrement 51
  39. 39. Support des Self Encrypting Drives(eDrives) en termes de performance de BitLocker avec• Implications Windows 7 – Surcoût pendant le chiffrement, le démarrage, les opérations normales, etc. – Implications exacerbées sur des portables ou des tablettes sur batteries – Disques auto-chiffrants non supportés avec Windows 7• Windows 8 améliore les performances de BitLocker et supporte les eDrives – Le traitement du chiffrement est déporté vers le hardware – Ceci permet de réduire l’utilisation du courant et augmente la durée des batteries – Suppression du temps initial de chiffrement des volumes. Amélioration des opérations normales – BitLocker gère les clés (AD et MBAM) – Les systèmes sans Self Encrypting Drives utilisent un chiffrement logiciel 52
  40. 40. Support des Storage Area Networks (SAN)• Support par BitLocker des SAN – Support de volumes sur iSCSI et Fiber Channel – Le chiffrement d’un gros volume vide est rapide quand on utilise l’option « chiffrement de l’espace utilisé seulement » – Supporte des volumes de données sur un LUN – Le Thin Provisioning est détecté automatiquement• Exigences – Le Host Bus Adapter (HBA) doit remplir les exigences du logo Windows – Les RAID doivent remplir les exigences du logo Windows• Remarque : les fonctionnalités RAID telles que la déduplication et le déchargement de la copie ne fonctionneront pas quand un volume est protégé par BitLocker 53
  41. 41. Support des clusters• BitLocker support les clusters Windows – Volumes partagés Cluster (CSV - Cluster Shared Volumes) – Volumes de basculement traditionnels• Options protecteurs – Utilisation de l’AD via Account/Group Protector – L’identité Cluster Name Object (CNO) déverrouille le volume – Le cluster déverrouille le volume quand il le monte• Exigence – Un contrôleur de domaine Windows Server 2012 54
  42. 42. Besoins hardware et utilisation par les différentes fonctionnalités Fonctionnalité TPM* UEFI eDrives 1 BitLocker: chiffrement volume X X X** 2 BitLocker: déverouillage volume réseau X X 3 Boot sécurisé X 4 Boot sécurisé : ELAM X 5 Evaluation du boot X X 6 Cartes à puce virtuelles (TPM) X X 7 Stockage de certificat (basé TPM) X X 8 Provisionnement automatique du TPM X X* La fonctionnalité tire parti du TPM discret. S’il n’y en a pas, il est possible d’utiliser l’environnement d’exécution sécurisé du firmware** Permet de bénéficier d’amélioration de performance mais ne requiert pas d’eDrive
  43. 43. CONTRÔLE D’ACCÈS DYNAMIQUE ET CLASSIFICATION DES DONNÉESWindows 8 : évolution de l’infrastructure en matière de sécuritéWindows 8 : contrôle d’accès dynamique et classification des donnéesWindows 8 : les fondamentaux 56
  44. 44. Protéger l’accès aux ressources Contrôle d’accès dynamique • Le contrôle d’accès s’adapte automatiquement aux changements au sein de l’environnement et réduit de façon spectaculaire le coût de gérer et de sécuriser l’accès aux ressources sur les serveurs de fichiers • L’accès aux ressources est fondés sur des étiquettes qui peuvent être ajoutées dynamiquement aux ressources en fonction de la localisation, de l’application ou être ajoutées manuellement par le possesseur du contenu • Un système de contrôle intelligent tire parti des propriétés des utilisateurs et des états du terminal pour prendre des décisions d’autorisation • Peut assurer que les ressources sont chiffrées et restent sur des systèmes et des disques (chiffrés) sécurisés • Facile à déployer et à administrer grâce à des fonctionnalités avancées de création et d’audit des contrôles d’accès
  45. 45. Quelques évolutions importantes pourWindows 8 sur le sujet de l’identité• Introduction du modèle fondé sur les revendications au sein de la plateforme Windows• Introduction d’un modèle permettant de cibler les politiques d’accès et d’audit sur la base d’un étiquetage afin de conduire la mise en place d’une politique de sécurité efficace et d’implémenter ce modèle pour les fichiers• Combler le gap entre l’informatique et les propriétaires d’information en utilisant une notion d’étiquetage pour les fichiers
  46. 46. Les évolutions avec Windows 8/WindowsServer 2012 Placer les revendications au cœur de la plateforme d’authentification via Kerberos avec Active Directory Améliorer la plateforme d’autorisation pour les fichiers pour créer et gérer des politiques d’accès plus riches avec des revendications Améliorer la plateforme d’audit des fichiers pour mettre en place des contrôles d’audit efficaces au sein de l’organisation Projeter les revendications utilisateurs et terminaux pour une consommation par les .apps .NET Améliorer l’infrastructure de gestion de fichiers
  47. 47. Les évolutions avec Windows 8/WindowsServer 2012 Placer les revendications au cœur de la plateforme d’authentification via Kerberos avec Active Directory Améliorer la plateforme d’autorisation pour les fichiers pour créer et gérer des politiques d’accès plus riches avec des revendications Améliorer la plateforme d’audit des fichiers pour mettre en place des contrôles d’audit efficaces au sein de l’organisation Projeter les revendications utilisateurs et terminaux pour une consommation par les .apps .NET Améliorer l’infrastructure de gestion de fichiers
  48. 48. Authentification QUOI DE NEUF• Le Contrôleur de Domaine émet des groupes et… des revendications ! – Les revendications (utilisateur et terminal) proviennent des Jeton Windows 8 attributs d’identité au sein d’AD – Identité composite – fait correspondre un utilisateur au Owner terminal qui sera autorisé comme un principal (au sens Group Kerberos) User Groups – Les revendications sont délivrées au sein d’un PAC Kerberos• Un jeton Windows a des sections Claims – Données utilisateur et terminal Device Groups – Revendications et groupes ! Claims• OID vers revendication pour les autorisations basés sur les certificats• Support pour transformation des revendications inter-forêts
  49. 49. Les évolutions avec Windows 8/WindowsServer 2012 Placer les revendications au cœur de la plateforme d’authentification via Kerberos avec Active Directory Améliorer la plateforme d’autorisation pour les fichiers pour créer et gérer des politiques d’accès plus riches avec des revendications Améliorer la plateforme d’audit des fichiers pour mettre en place des contrôles d’audit efficaces au sein de l’organisation Projeter les revendications utilisateurs et terminaux pour une consommation par les .apps .NET Améliorer l’infrastructure de gestion de fichiers
  50. 50. AutorisationMISE A JOUR DU MODELE d’ACL Windows 7 Avec Windows 8 Exemple User.memberOf (USA-Employees) AND User.memberOf (Finance-Division) AND User.memberOf (Authorization-Project) User.Division = ‘Finance’ AND User.CostCenter = 20000 User.Division = ‘Finance’ AND Device.ITManaged = True IF (Resource.Impact = ‘HBI’) ALLOW AU Read User.EmployeeType = ‘FTE’ • Support de revendications dans les ACE gérées comme des chaînes SDDL (Security Descriptor Definition Language) • Ajouts/suppression de chaînes SDDL via des fonctions standards de manipulation de chaînes
  51. 51. Politique de contrôle d’accès basée surdes expressions Active Serveur de Directory fichiers Revendications utilisateur Revendications terminal Propriétés ressources User.Department = Finance Device.Department = Finance Resource.Department = Finance User.Clearance = High Device.Managed = True Resource.Impact = High POLITIQUE D’ACCES S’applique à : @Resource.Impact == “High”Allow | Read, Write | if (@User.Clearance == “High”) AND (@Device.Managed == True)
  52. 52. AutorisationAMELIORATIONS• Amélioration des API SDDL pour fonctionner avec les revendications• Application des Security Descriptors aux objets• Amélioration des API CheckAccess en mode user pour fonctionner avec les revendications• Création et distribution centrale des politiques d’accès – Politique d’accès centralisée à l’information créée dans l’AD – Politique d’accès distribuée via les politiques de groupe vers les serveurs cibles• Nouvelle IHM pour les ACL – Fournir le support des ACL avec des revendications pour les utilisateurs finaux – Peut être invoquée depuis une application custom
  53. 53. Les évolutions avec Windows 8/WindowsServer 2012 Placer les revendications au cœur de la plateforme d’authentification via Kerberos avec Active Directory Améliorer la plateforme d’autorisation pour les fichiers pour créer et gérer des politiques d’accès plus riches avec des revendications Améliorer la plateforme d’audit des fichiers pour mettre en place des contrôles d’audit efficaces au sein de l’organisation Projeter les revendications utilisateurs et terminaux pour une consommation par les .apps .NET Améliorer l’infrastructure de gestion de fichiers
  54. 54. AuditCE QUI EST NOUVEAU• Cibler des audits sur la base d’expressions fondées sur des revendications – N’auditer que selon dont vous avez besoin ! • Ex: Auditer seulement l’accès à « mes données sensibles » par « mes sous- traitants » – Réduire le volume d’audit et simplifier l’analyse et la gestion des audits• Amélioration des métadonnées du schéma dans les événements d’audit – Permet un meilleur reporting et de meilleures corrélations• Plateforme de test – Tester les changements de politiques d’accès avec ZERO impact sur les opérations et la production – Tester les différences de captures d’événements d’audit lors des accès
  55. 55. Les évolutions avec Windows 8/WindowsServer 2012 Placer les revendications au cœur de la plateforme d’authentification via Kerberos avec Active Directory Améliorer la plateforme d’autorisation pour les fichiers pour créer et gérer des politiques d’accès plus riches avec des revendications Améliorer la plateforme d’audit des fichiers pour mettre en place des contrôles d’audit efficaces au sein de l’organisation Projeter les revendications utilisateurs et terminaux pour une consommation par les .apps .NET Améliorer l’infrastructure de gestion de fichiers
  56. 56. AD FS 2.1 dans Windows 8/WindowsServer 2012• AD FS 2.1 est disponible en standard sous la forme d’un server role au sein de Windows Server 2012 – Le rôle existant d’ ADFS 1.x a été remplacé par le nouvel AD FS 2.1 – Le Claims Aware Web agent continuera d’être livré sous la forme d’un composant « déprécié » afin de permettre la continuité opérationnelle des applications existantes et construire sur la base de la dll de SSO d’ADFS 1.x – Ajoute le support pour permettre l’émission de revendications terminal depuis le ticket Kerberos pour des applications Claims Aware – Pas de support d’AD LDS comme un espace de stockage pour l’authentification – Pas de support pour un ‘NT token’ web agent
  57. 57. Les évolutions avec Windows 8/WindowsServer 2012 Placer les revendications au cœur de la plateforme d’authentification via Kerberos avec Active Directory Améliorer la plateforme d’autorisation pour les fichiers pour créer et gérer des politiques d’accès plus riches avec des revendications Améliorer la plateforme d’audit des fichiers pour mettre en place des contrôles d’audit efficaces au sein de l’organisation Projeter les revendications utilisateurs et terminaux pour une consommation par les .apps .NET Améliorer l’infrastructure de gestion de fichiers
  58. 58. Infrastructure de classification de fichiersInformation d’étiquetage Basé sur l’emplacement Classificateur de contenu intégré Manuel Classification automatique Plugin de classification tiers // instantiate new classification manager FsrmClassificationManager cls = new FsrmClassificationManager(); Application //get defined properties ICollection c = cls.EnumPropertyDefinitions (_FsrmEnumOptions.FsrmEnumOptions_None); Points d’intégration // inspect each property definition foreach (IFsrmPropertyDefinition p in c) { /*...*/ }
  59. 59. Comment peut-on classifier l’information ? En fonction de • Basé sur le répertoire dans lequel est créée le fichier l’emplacement • Déterminé par le « responsable métier » qui définit le répertoire • Spécifié par l’utilisateur Manuel • On peut utiliser des modèles de documents pour les paramètres par défaut • Applications de création de données qui marquent les fichiers créées par les utilisateurs Classification • Classification automatique basée sur le contenu et d’autres caractéristiques automatique • Bonne solution pour classifier une grosse masse d’information déjà existante Application • Applications métier qui stockent des informations sur les serveurs de fichiers • Applications de gestion de données
  60. 60. Propriétés de classification de baseDomaine Propriétés Valeurs Information Privacy Personally Identifiable Information High; Moderate; Low; Public; Not PII Protected Health Information High; Moderate; Low Confidentiality High; Moderate; LowInformation Security Required Clearance Restricted; Internal Use; Public SOX; PCI; HIPAA/HITECH; NIST SP 800-53; NIST SP 800-122; U.S.-EU Safe Harbor Framework; GLBA; ITAR; Compliancy PIPEDA; EU Data Protection Directive; Japanese Personal Information Privacy Act Legal Discoverability Privileged; Hold Immutable Yes/No Intellectual Property Copyright; Trade Secret; Parent Application Document; Patent Supporting DocumentRecords Management Retention Long-term; Mid-term; Short-term; Indefinite Retention Start Date <Date Value> Impact High; Moderate; Low Organizational Department Engineering ;Legal; Human Resources … Project <Project> Personal Use Yes/No
  61. 61. Infrastructure de classification de fichiersAppliquer la politique en fonction de la classification Fait correspondre leClassifier le fichier fichier à la politique Appliquer la politique Contrôle d’accès Contrôle d’audit Rétention Chiffrement RMS Points d’intégration Autres actions 84
  62. 62. Contrôle d’accès dynamique en bref Identifier les Protéger les Contrôler l’accès Auditer l’accès données données Conditions d’accès Conditions d’auditEtiquetage manuel Protection RMS basées sur des basées sur des automatique despar les propriétaires expressions utilisant expressions utilisant documents Office en de contenus revendications revendications fonction des étiquettes utilisateurs et étiquettes utilisateurs et étiquettes Politiques d’accès Politiques d’audit qui Protection en quasi- Classification centrales basées sur peuvent être appliquées temps réel juste après automatique les étiquettes des sur différents serveurs que le fichiers ait été (étiquetage) de fichiers fichiers étiqueté Staging des audits pour Extensibilité pour des Remédiation en cas simuler les changementsEtiquetage applicatif protecteurs différents de refus d’accès de politique dans un environnement réel de RMS Office
  63. 63. LES FONDAMENTAUXWindows 8 : évolution de l’infrastructure en matière de sécuritéWindows 8 : contrôle d’accès dynamique et classification des donnéesWindows 8 : les fondamentaux 86
  64. 64. Windows 8 et atténuation des exploitsmémoire buffer overflow et les autres attaques mémoire• Menace : Les permettant le contrôle d’un pointeur en mémoire et l’exécution de code arbitraire• La situation pour ce qui concerne les exploits mémoire : – Seuls 6 % des systèmes ont été compromis à travers des exploits mémoire (SIR) – La plupart des exploits ciblent des applications tierces et d’anciens logiciels (XP) – La plupart des exploits échouent quad les protections mémoire sont en service – Mais les exploits de type zéro-day existent et les attaquants se focalisent vers les zones mémoire moins protégées• Windows 8 introduit au moins 20 mécanismes complémentaires de sécurisation de la mémoire qui atténuent des ensembles de vulnérabilités, cassent certaines techniques d’exploitation connues et augmentent le coût de l’exploitation de ces vulnérabilités
  65. 65. Windows 8 et atténuation des exploitsmémoire Windows Windows 7 Protections /GS disponible pour la compilation avec 8 Amélioration /GS, vérifications de plages, VS 2010 optimisation par scellement, virtual table guard Introduit avec Vista, les attaquants s’appuient sur les ASLR forcé, randomisation de bas en haut / haut lacunes dans ASLR en bas, entropie élevées Renforcement effectif de la Heap, nouvelles Contrôles d’intégrité, pages de garde, et techniques d’attaque randomisation de l’ordre d’allocation Exploits à distance limités, mais la plus grand partie DEP, ASLR, SMEP/PXN, protection contre de la mémoire Kernel est marquée exécutable déréférencement Null, contrôles intégrité D’avantage de sécurité par défaut mais on repose Défauts plus sévères pour les Apps, IE10, Office, sur l’usage applicatif terminaux ARM
  66. 66. Génération de code : amélioration /GS• Amélioration /GS pour la protection contre les stack buffer overrun – Disponible avec Visual Studio 2010, amélioré avec VS2012 – Windows 8 construit entièrement avec l’amélioration /GS• Les heuristiques /GS protègent désormais davantage de fonctions – Tableaux ne contenant pas de pointeurs et structures C• Optimisation /GS supprime les contrôles non nécessaires• Fermeture des lacunes dans la protection – Exemples : MS04-035, MS06-054, MS07-017
  67. 67. Génération de code : scellement• Si une classe est « scellée », elle ne peut pas avoir de classe dérivée. D’où il s’en suit que les appels à des méthodes virtuelles deviennent des appels directs class ClassName sealed : public Cinterface { … }• Eliminer les appels indirects réduit les surfaces d’attaques pour les exploitations : • Atténue des vulnérabilités telles que CVE-2011-1996 • A titre d’exemple, on a « dévirtualisé » 4500 appels dans mshtml.dll
  68. 68. Génération de code : vérification de plages• Insertion par le compilateur d’un contrôle des limites des tableaux If (i >= ARRAYSIZE(Buffer)) { __report_rangecheckfailure(); }• Atténue complètement certaines vulnérabilités • CVE-2009-2512, CVE-2010-2555• Limité à des scenarios spécifiques (notamment pile de taille fixe)
  69. 69. Génération de code : Virtual Table Guard• Atténuation probabiliste d’une éventuelle corruption de pointeur vtable permis par une annotation de l’interface• Une entrée supplémentaire est ajoutée à la vtable, dont l’emplacement mémoire est randomisé par ASLR• Un contrôle est ajouté aux appels de la méthode virtuelle pour trouver l’entrée supplémentaire et si l’on arrive pas à la trouver, on « met à mort » le processus
  70. 70. Address Space Layout Randomisation• ASLR a été introduit d’abord avec Windows Vista et a conduit à une évolution majeure dans l’approche des attaquants• Les attaquants dépendent maintenant : – D’EXE/DLL dont l’édition de lien n’a pas été faites avec /DYNAMICBASE – De l’éparpillement de l’espace d’adressage (heap/JIT) – Des régions mémoire prévisibles – Des divulgations d’information• Avec Windows 8, les processus peuvent désormais forcer les images non-ASLR à être randomisée (Force ASLR) : – Se comporte comme si la base préférée d’une image n’était pas disponible – La randomisation de bas en haut fournit l’entropie nécessaire pour ces images – Les processus peuvent choisir la mise en service de ce comportement• Dans Windows 8, un grand nombre de vecteurs de divulgation d’information ne sont plus utilisables : – ImagePointers a été supprimé de SharedUserData (une structure à la même adresse relative dans tous les processus)
  71. 71. Address Space Layout Randomisation Windows 7 : • Heaps et stacks sont randomisés • PEB/TEB sont randomisés mais avec une entropie limitée • VirtualAlloc et MapViewOfFile ne sont pas randomisés • Il peut donc exister des régions mémoire prévisibles Windows 8 : • Toutes les allocations de bas en haut / de haut en bas sont randomisées • Effectué en biaisant les adresses de base des allocations • PEB/TEB reçoivent maintenant beaucoup plus d’entropie • Les 2 sont au choix (EXE marqué /DYNAMICBASE)
  72. 72. Entropie élevée pour les processus 64 bits Randomisation haute entropie de bas en haut• ASLR avec Windows 8 tire • 1 To de variation dans la start address de bas en parti du grand espace haut d’adressage (8 To) des • Casse l’éparpillement traditionnel de l’espace d’adressage (heap/JIT) processus 64 bits afin de • Les processus doivent choisir la mise en service réduire la probabilité de Randomisation haute entropie de haut en bas deviner une adresse • 8 Go de variation dans la start address de haut en bas • Mis en service automatiquement si la randomisation de haut en bas est en fonction Randomisation haute entropie des images • Les images basées au-dessus de 4 Go reçoivent plus d’entropie • Toutes les images système ont été déplacées au- dessus de 4 Go
  73. 73. Entropie élevée pour les processus 64 bits Windows 7 Windows 8 32 bits 64 bits 32 bits 64 bits 64 (HE) * Les DLL 64 bits basées sous 4 Go reçoivent 14 bits, les EXE sous 4 Go
  74. 74. La Heap Changement avec Impact• Le renforcement de la Heap a été Windows 8 introduit et s’est révélé être extrêmement efficace. Quelques nouvelles attaques proposées par les chercheurs en sécurité mais les exploits réels ciblent les données applicatives sur la Heap et pas les métadonnées• La conception générale de la Heap n’a pas changé mais quelques contrôles d’intégrité ont été introduits dans la LFH (utilise pour des tailles <16 KO)
  75. 75. La Heap• Les pages de garde sont désormais utilisées • L’ordre d’allocation est désormais non pour partitionner la Heap déterministe (seulement LFH) • Conçu pour empêcher / localiser une corruption • Rend peu fiable les exploits s’appuyant sur la • Toucher une page de garde génère une manipulation de la Heap exception D C• Les points d’insertion pour les pages de garde sont contraints à ne concerner que des C D grandes allocations, des segments de Heap et des sous-segments de la taille maximale pour la LFH
  76. 76. Le noyau x86 x64 AR M 7 8 7 8 8• Les vulnérabilités du Kernel ont été moins Version de Windows X X NX NX NX la cible des attaquants avec seulement quelques exploits ciblant le Kernel à X X X X X distance NX NX NX – Mais, la cible des attaques semble être en train X X NX NX NX de se diriger à nouveau vers le Kernel en X X NX NX NX raison de l’utilisation des bacs à sable, si l’on NX NX NX NX NX en juge par la compréhension de certains X NX X NX NX exploits du Kernel en local qui sont la preuve de certains exploits sophistiqués du Kernel à X NX X NX NX distance X NX X NX NX• DEP est largement mis en service au sein X NX X NX NX du noyau de Windows 8 (cf. tableau ci- X NX X NX NX joint) X NX X NX NX • Windows 8 introduit NonPagedPoolNx comme nouvelle région mémoire
  77. 77. Le noyau• L’ASLR Kernel a été tout d’abord introduit avec Windows • L’exploitation en local d’une déréférencement par le Kernel Server 2008, avec 4 bits d’entropie pour les drivers, 5 bits est généralement trivial pour NTOS/HAL • Windows 8 interdit le mappage des premiers 64 K, de telle• L’entropie a été améliorée avec Windows 8 à travers un biais façon que tout déréférencement NULL par le Kernel devient du segment de base du kernel, entropie 22 bits / 12 bits. un déni de service et pas une mort de processus Randomisation des régions de boot • NTVDM a aussi été mis hors service pas défaut• Nouvelles fonctionnalités de sécurité des processeurs • L’unlinking sûr a été mis en service globalement, pas juste permettant d’interdire l’exécution par le superviseur de code pour la Heap et pour la Kernel pool se trouvant dans les pages user • Amélioration de l’entropie à travers l’amorçage du PRNG• Requiert Intel Ivy Bridge ou ARM avec support PXN depuis le TPM • L’Object manager a été renforcé contre les débordements de comptes de référence • La divulgation d’information par le Kernel via certain appels systèmes a été résolue
  78. 78. Paramétrage par défaut Paramétrage par 32 bit (x86) 64 bit (x64) ARM défaut pour Windows Tout le code 8 W8 UI IE10 Défaut W8 UI IE 10 Défaut Apps Apps * Les images ARM PE doivent choisir DEP et ASLR, donc ASLR en mode Force n’est pas requis
  79. 79. Q&R 10 2

×