CLI301 – Mécanismes      internes de la sécurité              de Windows 8      Arnaud Jumelet – Consultant Sécurité      ...
Donnez votre avis !                   Depuis votre smartphone, sur :                    http://notes.mstechdays.fr    De n...
Agenda•   Démarrage du système•   Ouverture de session•   Contrôle d’accès•   Isolation des applications modernes•   Prote...
DÉMARRAGE DU SYSTÈME
Qu’est-ce qu’un firmware ?•   Il s’agit du premier programme qui s’exécute sur un ordinateur lors de sa mise    sous tensi...
Boot sécurisé : BIOS vs. UEFI •       Le BIOS lance n’importe quel OS loader, même du malware     •   Maintenant le firmwa...
UEFI – Secure Boot• Le Secure Boot vérifie la signature ou l’empreinte numérique de tout  code avant d’autoriser son exécu...
UEFI – Secure Boot                                   PowerShell             PK        KEK   PKKEK, DB et  DBX             ...
UEFI – Base des signatures (1/2)•   La spécification UEFI introduit la notion de clé de plateforme (Platform Key -    PK) ...
UEFI – Base des signatures (2/2)• La base de signature DB répertorie les empreintes (SHA-1 ou SHA-  256) des images UEFI q...
UEFI – Mode de fonctionnement• Une fois que ces différentes bases de données ont été peuplées, le  fabricant verrouille le...
UEFI – Secure Boot
UEFI – Secure Boot - Divers• Sur les architectures x86/x64, le  constructeur d’ordinateur doit donner à  l’utilisateur la ...
Pourquoi UEFI ?• Bénéfices clés pour la sécurité   –   Boot sécurisé   –   Support eDrive pour BitLocker   –   Support du ...
OUVERTURE DE SESSION
Compte Microsoft
Compte Microsoft• Identité live.com ou hotmail.com  – Email, calendrier, documents, photos etc.  – Synchronisation de para...
Compte Microsoft
Types de comptesType de compte                  DescriptionCompte local                    Authentification nécessaire pou...
Compte Microsoft
Compte de domaine avec un compte Microsoft
Compte de domaine avec un compte Microsoft
Compte Microsoft connecté à un compte de domaine• Uniquement pour applications et services  web acceptant ce type d’identi...
Modes d’authentification•   Mot de passe•   Mot de passe image (nouveau)•   Code confidentiel (nouveau)•   Carte à puce•  ...
Choix du mode d’authentification
Mot de passe image• Adapté aux tablettes• 3 gestes sur une image• Types de gestes  – Cercle : position, taille, sens  – Li...
Sécurité du mot de passe image• Grille de 100x100• Score• Entropie > mot de passe de 5 caractères  simples• Déverrouille l...
Code confidentiel•   Adapté aux tablettes•   Code à 4 chiffres•   Même principe que le mot de passe image•   Interdit par ...
Carte à puce virtuelle• Propriétés des cartes à puces :  – Non exportabilité (clés privées)  – Cryptographie isolée (opéra...
Cartes physiques et virtuelles                       Carte à puce                    Carte à puce virtuelleFonctions crypt...
Procédure• Modèle de certificat• Créer la carte virtuelle sur le poste client  – tpmvscmgr.exe• Enrôlement du certificat• ...
Création de la carte à puce
demoVirtual Smart CardMISE EN SERVICE D’UNE CARTE ÀPUCE VIRTUELLE AVEC VERSATILESECURITY
Gestion des Virtual Smart Cards avec vSEC:CMS T- Series• Gestion du cycle de vie de la carte et de ses certificats   –   C...
Ouverture de session
CONTRÔLE D’ACCÈS
Contrôle d’accès sous Windows – Un brefrappel       Accès à la                             Windows              Ressource ...
Le jeton d’accès     Accès à la                           Windows              Ressource     ressource      Jeton     d’ac...
Evolutions du jeton d’accès sous Windows8
demoJeton d’accèsCONTENU DU JETON D’ACCÈS SOUSWINDOWS 8
Politiques d’accès centralisées                              AD DS                                   File                 ...
Contrôle d’accès                           Share                     Security Descriptor                     Share Permiss...
ISOLATION DES APPLICATIONSMODERNES
Modèle de sécurité de Windows 8 Le modèle de sécurité de Windows 8 évolue et introduit le concept de conteneur  isolé.   ...
Renforcement de l’isolation :lorsque les accès proviennent d’unAppContainer
Le modèle de sécurité des Windows Apps  •   Contrôle et consentement utilisateur       • Chaque App divulgue ses capacités...
PROTECTION DU POSTE DETRAVAIL
Windows SmartScreen ou comment prendre la bonne décision• Les techniques des cybercriminels évoluent. Les cybercriminels  ...
demoWindows SmartScreenAPPLICATION SANS REPUTATION
Windows SmartScreen – Réputation des applications                          Traite le reste avec                          s...
En résumé• Protection de la plateforme  Contrôler l’exécution du code avant que Windows démarre  tout en vérifiant son int...
4 ouvrages écrits par 13 Microsofteeshttp://www.editions-eyrolles.com/livres/Windows-8-pour-les-professionnels
Développeurs                                                         Pros de l’IT http://aka.ms/generation-app       Forme...
Prochain SlideShare
Chargement dans…5
×

Mécanismes internes de la sécurité de Windows 8

1 074 vues

Publié le

Cette présentation aborde les nouveautés de Windows 8 concernant les mécanismes internes de la sécurité : l'ouverture de session, les méthodes d'authentification, les cartes à puces virtuelles, les autorisations, le contrôle d'accès, ainsi que les mécanismes d'isolation des applications Windows 8.

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
1 074
Sur SlideShare
0
Issues des intégrations
0
Intégrations
3
Actions
Partages
0
Téléchargements
25
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive
  • Notation
  • Nous ne parlerons pas de de BitLocker, ni d’ELAM, ni de Windows Defender, ni du renforcement du noyau, ni de Group Protected PFX, ni de DAC.
  • Win + Rcmdcd downloadsdir /RnotepadFunnyVideo.exe:Zone.Identifier
  • http://www.editions-eyrolles.com/livres/Windows-8-pour-les-professionnels/
  • Mécanismes internes de la sécurité de Windows 8

    1. 1. CLI301 – Mécanismes internes de la sécurité de Windows 8 Arnaud Jumelet – Consultant Sécurité http://aka.ms/arjumPascal Sauliere – Architecte Infrastructure http://aka.ms/pascals Microsoft FranceEntreprise / IT / Serveurs / Réseaux / Sécurité
    2. 2. Donnez votre avis ! Depuis votre smartphone, sur : http://notes.mstechdays.fr De nombreux lots à gagner toutes les heures !!! Claviers, souris et jeux Microsoft… Merci de nous aider à améliorer les TechDayshttp://notes.mstechdays.fr
    3. 3. Agenda• Démarrage du système• Ouverture de session• Contrôle d’accès• Isolation des applications modernes• Protection du poste de travail• Sessions complémentaires – SEC302 Windows 8 et la sécurité – SEC313 Le modèle de sécurité des Windows Apps
    4. 4. DÉMARRAGE DU SYSTÈME
    5. 5. Qu’est-ce qu’un firmware ?• Il s’agit du premier programme qui s’exécute sur un ordinateur lors de sa mise sous tension électrique.• Le firmware identifie les composants, les initialise, vérifie le bon fonctionnement puis transfère l’exécution au programme stocké sur le premier périphérique de démarrage disponible.• Le firmware permet aux programmes de démarrage d’interagir avec le matériel par l’intermédiaire d’interfaces de programmation standardisées. Lors de son démarrage, Windows s’appuie sur les services du firmware pour dialoguer avec le matériel.• Deux types de firmware : BIOS (début 1980) et UEFI (2005)
    6. 6. Boot sécurisé : BIOS vs. UEFI • Le BIOS lance n’importe quel OS loader, même du malware • Maintenant le firmware rend obligatoire la politique de sécurité et ne lance que des OS loaders dignes de confiance • L’OS loader rend obligatoire la vérification de signature des composants chargés ultérieurement • UEFI ne lancera qu’un OS Loader vérifié. En substance, un malware ne peut remplacer le boot loader
    7. 7. UEFI – Secure Boot• Le Secure Boot vérifie la signature ou l’empreinte numérique de tout code avant d’autoriser son exécution. Pour arriver à ce résultat, le Secure Boot conserve une base de données (DB) des programmes qui sont pré-approuvés pour s’exécuter lors du démarrage de l’ordinateur.• Si l’image UEFI n’est pas déclarée dans la liste blanche ou bien présente dans la liste noire alors son exécution est bloquée. Le Secure Boot (démarrage sécurisé) nécessite un firmware UEFI en version 2.3.1 au minimum. Le Secure Boot ne requiert pas la présence d’un module de plateforme sécurisée (TPM).
    8. 8. UEFI – Secure Boot PowerShell PK KEK PKKEK, DB et DBX DB DBX
    9. 9. UEFI – Base des signatures (1/2)• La spécification UEFI introduit la notion de clé de plateforme (Platform Key - PK) qui est conçu pour être contrôlée par le propriétaire de plate-forme (celui qui possède le matériel) et un ensemble de clés pour l’échange de clés (Key- Exchange Keys - KEKs) qui est conçu pour être contrôlé par les fabricants de matériel (OEM) et les éditeurs de système d’exploitation.• Cette séparation à deux niveaux, PK et KEK, apporte de la flexibilité. Le propriétaire de la plate-forme installe la clé publique KEK sans compromettre la sécurité du modèle et sans avoir à connaitre la clé privée associée.• La base KEK est une base de signature qui contient les certificats des fabricants matériels (OEM) et éditeurs logiciels (OS) autorisés. Une entité autorisée est celle qui possède une clé déchange de clés (KEK). Cette clé privée est utilisée pour signer les modifications des bases de signatures DB et DBX.
    10. 10. UEFI – Base des signatures (2/2)• La base de signature DB répertorie les empreintes (SHA-1 ou SHA- 256) des images UEFI qui peuvent être exécutées. De plus, la base DB contient les signataires de confiance, c’est-à-dire les certificats numériques servant à vérifier la signature d’une image UEFI.• La base de signature DBX répertorie les images UEFI révoquées dont le code n’est plus digne de confiance. La base DBX contient les empreintes (SHA-1 ou SHA-256) des images UEFI qui ne peuvent plus être exécutées. De plus, la base DBX liste les certificats numériques considérés comme révoqués ; ils ne permettent plus de vérifier la signature d’une image UEFI.
    11. 11. UEFI – Mode de fonctionnement• Une fois que ces différentes bases de données ont été peuplées, le fabricant verrouille le firmware en empêchant sa modification en important la clé de plateforme PK (Platform Key). Pour rappel, la PK permet de mettre à jour la base KEK ou bien de désactiver le Secure Boot.• Dès lors qu’une clé de plateforme PK est installée, alors le firmware fonctionne en mode utilisateur et ne voudra démarrer que les images UEFI ayant une signature numérique valide (c’est-à-dire que lors de la vérification de la signature, un élément de la chaine de certificat doit être déclaré dans la base DB ou KEK). Si l’image UEFI ne possède pas de signature numérique alors son empreinte doit avoir été déclarée dans la base DB.
    12. 12. UEFI – Secure Boot
    13. 13. UEFI – Secure Boot - Divers• Sur les architectures x86/x64, le constructeur d’ordinateur doit donner à l’utilisateur la possibilité de désactiver le Secure Boot en naviguant dans le menu du firmware.• En architecture ARM, la désactivation du Secure Boot par l’utilisateur n’est pas
    14. 14. Pourquoi UEFI ?• Bénéfices clés pour la sécurité – Boot sécurisé – Support eDrive pour BitLocker – Support du déverrouillage réseau pour BitLocker – Support multicast pour WDS• Une exigence pour obtenir le logo Windows 8 et Windows RT• Autres bénéfices – Support SOC (ARM et Intel) – Meilleure expérience utilisateur • Boot rapide, logo de l’OEM, pas de nécessité de flashage arrière, etc. – Support des disques système de plus de 2.2 TO
    15. 15. OUVERTURE DE SESSION
    16. 16. Compte Microsoft
    17. 17. Compte Microsoft• Identité live.com ou hotmail.com – Email, calendrier, documents, photos etc. – Synchronisation de paramètres• Accès aux services sans réauthentification – Email etc. – SkyDrive – Autres services utilisant le compte Microsoft
    18. 18. Compte Microsoft
    19. 19. Types de comptesType de compte DescriptionCompte local Authentification nécessaire pour les services utilisant les comptes MicrosoftCompte Microsoft Accès transparent à ces services + SynchronisationCompte de domaine Classique, authentification nécessaire sur les services utilisant les comptes MicrosoftCompte de domaine avec compte Avantages des comptes de domaine etMicrosoft lié des comptes Microsoft
    20. 20. Compte Microsoft
    21. 21. Compte de domaine avec un compte Microsoft
    22. 22. Compte de domaine avec un compte Microsoft
    23. 23. Compte Microsoft connecté à un compte de domaine• Uniquement pour applications et services web acceptant ce type d’identité• Paramètres synchronisés : – Paramètres Windows – Paramètres Apps et IE – Mots de passe : sauf pour les mots de passe enregistrés sur le poste du domaine, qui ne quittent pas le poste
    24. 24. Modes d’authentification• Mot de passe• Mot de passe image (nouveau)• Code confidentiel (nouveau)• Carte à puce• Carte à puce virtuelle (nouveau)
    25. 25. Choix du mode d’authentification
    26. 26. Mot de passe image• Adapté aux tablettes• 3 gestes sur une image• Types de gestes – Cercle : position, taille, sens – Ligne : position des deux points, sens – Point : position• Autorisé pour comptes locaux et Microsoft• Autorisé par défaut pour comptes de domaine (GPO)
    27. 27. Sécurité du mot de passe image• Grille de 100x100• Score• Entropie > mot de passe de 5 caractères simples• Déverrouille le mot de passe standard• Verrouillé après 5 tentatives – Retour au mot de passe standard
    28. 28. Code confidentiel• Adapté aux tablettes• Code à 4 chiffres• Même principe que le mot de passe image• Interdit par défaut pour les comptes de domaine
    29. 29. Carte à puce virtuelle• Propriétés des cartes à puces : – Non exportabilité (clés privées) – Cryptographie isolée (opérations dans la carte) – Anti « force brute » (carte bloquée après N tentatives)• Cartes à puces virtuelles : – Mêmes propriétés en utilisant le TPM – Moins cher ! – Transparent pour les applications – 1 utilisateur = 1 carte virtuelle par PC
    30. 30. Cartes physiques et virtuelles Carte à puce Carte à puce virtuelleFonctions crypto Carte TPMClé privée Dans la carte Sur le disque, chiffrée par le TPMAnti brute force Carte TPMMatériel PC + lecteur + carte PC1 utilisateur, La même carte sur plusieurs Une carte virtuelle sur chaque PCplusieurs PC PCPlusieurs Chaque utilisateur utilise sa Chaque utilisateur a une carteutilisateurs, 1 PC carte virtuelle sur le PCRisques particuliers PC sans surveillance Pas de politique « retrait de la carte »Coût Lecteurs + cartes + pertes PC avec TPM
    31. 31. Procédure• Modèle de certificat• Créer la carte virtuelle sur le poste client – tpmvscmgr.exe• Enrôlement du certificat• Test !
    32. 32. Création de la carte à puce
    33. 33. demoVirtual Smart CardMISE EN SERVICE D’UNE CARTE ÀPUCE VIRTUELLE AVEC VERSATILESECURITY
    34. 34. Gestion des Virtual Smart Cards avec vSEC:CMS T- Series• Gestion du cycle de vie de la carte et de ses certificats – Création/destruction de la carte à puce virtuelle – Diversification du code administrateur – Politique de code PIN utilisateur – Réinitilisation du code PIN – Enrôlement, renouvellement, rapports sur les certificats émis• Intégration simple et rapide – Support de la PKI ADCS (Active Directory Certificate Services)• versatilesecurity.com Contact : William HOURY
    35. 35. Ouverture de session
    36. 36. CONTRÔLE D’ACCÈS
    37. 37. Contrôle d’accès sous Windows – Un brefrappel Accès à la Windows Ressource ressource Jeton d’accès Descripteur de sécurité de la ressource
    38. 38. Le jeton d’accès Accès à la Windows Ressource ressource Jeton d’accès Descripteur de sécurité de la ressource
    39. 39. Evolutions du jeton d’accès sous Windows8
    40. 40. demoJeton d’accèsCONTENU DU JETON D’ACCÈS SOUSWINDOWS 8
    41. 41. Politiques d’accès centralisées AD DS File Server Revendications Revendications Propriétés de la Utilisateurs Périphérique Ressource User.Department = Finance Device.Department = Finance Resource.Department = Finance User.Clearance = High Device.Managed = True Resource.Impact = High POLITIQUES D’ACCES S’applique à: @File.Impact = HighAutoriser| Lecture, Ecriture | si (@User.Department == @File.Department) ET(@Device.Managed == True)
    42. 42. Contrôle d’accès Share Security Descriptor Share Permissions Active Directory (cached in local Registry) Cached Central Access Policy Definition File/Folder Security Descriptor Cached Central Access Rule Central Access Policy Reference Cached Central Access Rule NTFS Permissions Cached Central Access Rule Décision de contrôle d’accès : 1) Vérification – permissions sur le partage si applicable 2) Vérification – permissions sur le fichier 3) Vérification – Chaque règle d’accès centralisée dans la politique d’accès centralisée
    43. 43. ISOLATION DES APPLICATIONSMODERNES
    44. 44. Modèle de sécurité de Windows 8 Le modèle de sécurité de Windows 8 évolue et introduit le concept de conteneur isolé.  Basé sur le principe du moindre privilège et utilise des niveaux disolation.  Le format du jeton de sécurité sous Windows 8 évolue. Il contient des capacités, des packages SID, des claims et des devices groups. Chaque App sur Windows 8 sexécute dans son propre AppContainer isolé qui est défini par les capacités déclarées comme requises par lapplication pour fonctionner.  Un AppContainer offre des niveaux disolation dans lequel un processus peut sexécuter. De plus, un AppContainer est défini et mis en œuvre à laide dun système de politique (le manifeste). La politique de sécurité dun AppContainer définit les capacités que les processus peuvent utiliser.  Une capacité est une ressource pour laquelle la sécurité, la vie privée ou bien le coût financier est en jeu. Des exemples de capacités comprennent des informations de localisation géographique, la caméra, le microphone, laccès au réseau local, lenvoi de SMS, etc.
    45. 45. Renforcement de l’isolation :lorsque les accès proviennent d’unAppContainer
    46. 46. Le modèle de sécurité des Windows Apps • Contrôle et consentement utilisateur • Chaque App divulgue ses capacités à lutilisateur sur la page des détails sur le Windows Store. La première fois qu’une App utilise une capacité matérielle pouvant porter atteinte à la vie privée, l’utilisateur doit donner explicitement son consentement • Réduction de la surface dattaque • Chaque App reçoit les capacités nécessaires pour son bon fonctionnement, mais pas plus. Pour pouvoir être publiées sur le Windows Store, les Apps qui demandent des capacités spéciales requièrent une licence « développeur d’entreprise ». De plus les Apps s’exécutent dans un environnement d’exécution restreint. • Isolation • Les Apps sont isolées les unes des autres et ne peuvent pas accéder à la mémoire utilisée et aux données stockées par dautres applications. Aucun canal de communication direct n’existe entre les Apps autrement que par le Cloud (capacité réseau) et les capacités de stockage.
    47. 47. PROTECTION DU POSTE DETRAVAIL
    48. 48. Windows SmartScreen ou comment prendre la bonne décision• Les techniques des cybercriminels évoluent. Les cybercriminels conçoivent des séries de programmes malveillants à faible diffusion.• Une attaque ciblée utilise une version non détectée d’une boîte à outils / d’un malware qui ne sera pas détecté par votre antivirus.• Le principe de Windows SmartScreen est qu’une application n’ayant aucune réputation est susceptible de contenir du code malveillant.• Si l’application n’est pas fréquemment téléchargée et ne possède pas de réputation, alors un message s’affiche vous invitant à faire preuve de prudence.
    49. 49. demoWindows SmartScreenAPPLICATION SANS REPUTATION
    50. 50. Windows SmartScreen – Réputation des applications Traite le reste avec suspicion
    51. 51. En résumé• Protection de la plateforme Contrôler l’exécution du code avant que Windows démarre tout en vérifiant son intégrité• Contrôle d’accès moderne Moderniser le contrôle d’accès et la gestion des données tout en augmentant la sécurité des données au sein de l’organisation• Résistance contre les malwares Protéger l’appareil, les données et les ressources de l’organisation en rendant la plateforme moins vulnérable aux effets d’un malware
    52. 52. 4 ouvrages écrits par 13 Microsofteeshttp://www.editions-eyrolles.com/livres/Windows-8-pour-les-professionnels
    53. 53. Développeurs Pros de l’IT http://aka.ms/generation-app Formez-vous en ligne www.microsoftvirtualacademy.com http://aka.ms/evenements- developpeurs Retrouvez nos évènements http://aka.ms/itcamps-france Les accélérateurs Faites-vous accompagnerWindows Azure, Windows Phone, gratuitement Windows 8 Essayer gratuitement nos http://aka.ms/telechargements solutions IT La Dev’Team sur MSDN Retrouver nos experts L’IT Team sur TechNet http://aka.ms/devteam Microsoft http://aka.ms/itteam

    ×