SlideShare une entreprise Scribd logo
1  sur  80
Windows 8 et la Sécurité

                                       Bernard Ourghanlian
                                                CTO & CSO
                                           Microsoft France




Serveurs / Entreprise / Réseaux / IT
Avertissement
• De nombreuses nouvelles fonctionnalités de
  sécurité de Windows 8 ne seront pas abordées
  ici faute de temps – merci de bien vouloir m’en
  excuser
• Des éléments complémentaires sont présentés
  notamment pendant les sessions :
  – Le modèle de sécurité des Windows Apps (SEC313)
  – Mécanismes internes de la sécurité de Windows 8 (CLI301)
Sommaire
• Windows 8 : évolution de l’infrastructure en
  matière de sécurité

• Windows 8 : contrôle d’accès dynamique et
  classification des données

• Windows 8 : les fondamentaux
                                                 3
EVOLUTION DE
                                  L’INFRASTRUCTURE DE SECURITE
Windows 8 : évolution de l’infrastructure en matière de sécurité

Windows 8 : contrôle d’accès dynamique et classification des données

Windows 8 : les fondamentaux
                                                                       4
Infrastructure : nouveautés sécurité de Windows 8
                        Résistance contre les malwares
                        Protéger le terminal, les données et les
         Protéger       ressources de l’organisation en rendant le
      contre et gérer
       les menaces      terminal sécurisé par défaut et moins
                        vulnérable aux effets du malware
                        Chiffrement omniprésent des terminaux
Protéger les
 données                Simplifier la gestion du provisionnement et de la
 sensibles              conformité des volumes chiffrés sur un plus
                        large ensemble de types de terminaux et de
                        technologies de stockage
      Protéger          Contrôle d’accès moderne pour des modes de
      l’accès aux
      ressources        travail flexibles
                        Moderniser le contrôle d’accès et la gestion
                        des données tout en augmentant la sécurité
                        des données au sein de l’organisation             5
Résistance au malware : les problèmes
• Un malware peut compromettre le processus
  de boot et l’intégrité de Windows
• Un malware peut se dissimuler de Windows et
  des logiciels anti-malware
• Un malware peut se charger avant le logiciel
  anti-malware et mettre ce dernier hors service
• L’antivirus est toujours à la traine derrière le
  dernier malware
                                                     6
Résistance au malware : boot sécurisé et
évalué
• Boot sécurisé
  – Protection de bout en bout du processus de boot
     • OS loader Windows
     • Fichiers système de Windows et pilotes de périphériques
     • Logiciel anti-malware
  – Fait en sorte d’empêcher
     • Le démarrage d’un système d’exploitation compromis
     • Un logiciel de démarrer avant Windows
     • Un logiciel tiers de démarrer avant l’anti-malware
  – Permet une remédiation automatique et l’auto-guérison
Windows 8 tire parti des évolutions du hardware


         Universal Extensible Firmware Interface (UEFI)
         • Une évolution majeure du BIOS traditionnel
         • Une solution indépendante de l’architecture conçue pour tous les facteurs de forme
         • Fournit le support pour de nouvelles possibilités en termes de sécurité tel que le
           boot sécurisé

         Trusted Platform Module (TPM)
         • Un processeur de chiffrement de sécurité inviolable conçu pour effectuer des opérations de
           chiffrement
         • TPM v.Next (2.0) a été conçu pour adresser les besoins de certains pays et les préoccupations en
           termes de coûts
         • Peut être implémenté sous forme d’un composant discret ou au sein du firmware sur un SOC
Pourquoi UEFI ?
• Bénéfices clés pour la sécurité
   –   Boot sécurisé
   –   Support eDrive pour BitLocker
   –   Support du déverrouillage réseau pour BitLocker
   –   Support multicast pour WDS
• Une exigence pour obtenir le logo Windows
• Autres bénéfices
   – Support SOC (ARM et Intel)
   – Meilleure expérience utilisateur
      • Boot rapide, logo de l’OEM, pas de nécessité de flashage arrière, etc.
   – Support des disques système de plus de 2,2 To
   – Boot « sans couture » (graphique UEFI)
Evolution du TPM
• Proposition de valeur du TPM
   – Permet la mise en place d’une sécurité de qualité commerciale via l’isolation des clés
     physiques et virtuelles de l’OS
   – Spécification 1.2 : standard mature, des années de déploiement et de renforcement de la
     sécurité
   – Des améliorations dans le provisionnement du TPM en ont abaissé la barrière du
     déploiement
• Evolution du standard du TCG : TPM v.Next (2.0)
   – Extensibilité algorithmique permettant la mise en œuvre et le déploiement dans des
     pays supplémentaires (remplacement des algorithmes de chiffrement)
   – Les scénarios de sécurité sont compatibles avec TPM 1.2 ou 2.0
• Windows 8 : Support de TPM 2.0 permettant le choix
  d’implémentation
   – TPM discret
   – TPM en firmware (ARM Trustzone, Intel Platform Trust Technology (PTT))
   – Exigence pour le logo Windows pour AOAC (Always-On Always Connected) seulement
Séquence de boot traditionnelle (avec injection de
malware)                            Noyau
                                                  Drivers
              MBR et       OS        Windows                Démarrag
                                                   tiers                Login
    BIOS       Boot      Loader         et                   e Anti-
                                                 (Malware   malware    Windows
              Sector    (Bootkit)     Drivers
                                                      )
                                     (Rootkit)




Séquence de boot
Windows 8     OS                      Early
                         Noyau
              Loader                  Load       Drivers     Login     Attestatio
    UEFI                Windows                                        n distante
              Windows                 Anti-       tiers     Windows
                        et Drivers
                 8                   Malware
Boot sécurisé : BIOS vs. UEFI
 Les processus de                                Tout code d’OS         Démarrage de
                               BIOS
  boot existants                                     Loader                l’OS


            •       Le BIOS lance n’importe quel OS loader, même du malware
            •       Maintenant le firmware rend obligatoire la politique de sécurité et ne
                    lance que des OS loaders dignes de confiance
            •       L’OS loader rend obligatoire la vérification de signature des
                    composants chargés ultérieurement
                                                   OS Loader
  Boot sécurisé                                                         Démarrage de
                         UEFI 2.3.1 natif            vérifié
                                                                           l’OS
   Windows 8                                       seulement

            •       UEFI ne lancera qu’un OS Loader vérifié
            •       En substance, un malware ne peut remplacer le boot loader
Early launch anti-malware (ELAM)
 Processus de                          Tout            Tout         Logiciel
                                                                                  Windows
                        BIOS          code de         driver         Anti-
                                                                                   Logon
 boot existants                       Loader           tiers        Malware




 Processus de                            OS                         Drivers       Windows
                      UEFI Natif                      ELAM           tiers         Logon
boot Windows 8                         Loader

                                                     Politique rendue obligatoire
    •      Le boot driver Anti-Malware est signé de manière spécifique
    •      Windows démarre le logiciel ELAM avant tout autre boot driver tiers
    •      Le driver ELAM peut rendre obligatoire la politique, même pour des boot start
           drivers
    •      Les malwares de type rootkit ne peuvent désormais plus contourner
           l’inspection anti-malware                                                        13
Boot mesuré avec attestation
    Processus de
                                       OS           Initialisation       Drivers          Anti-
       boot            BIOS
                                     Loader           du Kernel           tiers          Malware
      existant

                                                                                             TP
Processus de                                                                                 M
                                              Initialisati
                                    OS                                    Drivers
      boot           UEFI                       on du           ELAM                   Attestation
                                 Loader                                    tiers
    Windows 8                                   Kernel

                                                               Politique rendue obligatoire
•       Des clients post-boot peuvent utiliser des mesures signées par le TPM pour prouver l’état
        initial du système et du logiciel ELAM
•       Le logiciel ELAM peut invalider les déclarations sur l’état de santé du client si le client arrête
        de rendre obligatoire la politique de sécurité (i.e. ne fournit plus de mises à jour de signature
        ou exécute un logiciel inconnu)
Sécuriser le terminal – Protéger contre les
   menaces
                                                                                          Les évaluations des
                                        Politique de
                      Boot UEFI
                                            Boot
                                                                                          composants y
Le boot                                                                                   compris le logiciel
sécurisé évite                                                                            AM sont stockés
                      1
les OS Loader                                                                             dans le TPM
malfaisants
                      Windows                                                     TPM
                                         Politique AM          3
                      OS Loader

                                                                                           Le terminal retrouve
                    Noyau Windows
                       et pilotes
                                         Logiciel AM                                       les évaluations par le
                                                                     4                     TPM de l’état du
                                                                                           terminal à la
                                    2                                                      demande
                                         Logiciel tiers
           La logiciel anti-
           malware est lancé
           avant tous les                                                                            Service
                                        Windows Logon     Terminal
                                                                                                  d’attestation
           logiciels tiers
                                                                         Revendication de la
                                                                          santé du terminal
Sécuriser le terminal lors du boot : en
résumé
         Boot Sécurisé
         • Evite ou détecte les tentatives de malware d’altérer le hardware d’un terminal ou
           son système d’exploitation
         • S’assure que le logiciel anti-malware est toujours dipsonible et non altéré
         • Détecte automatiquement et répare le système contre l’intrusion de malware sans
           interaction avec l’utilisateur
         • Fournit une protection avancée en tirant parti du hardware de sécurité et de la
           racine de confiance que permet ce dernier

        Boot évalué
        • Utilisé pour évaluer l’intégrité des logiciels Windows et anti-malware
        • Service d’attestation distant qui peut analyser les évaluations d’intégrité qui sont effectuées par le
          boot évalué
        • Aide à empêcher les systèmes compromis d’accéder aux ressources de l’entreprise
        • Services d’attestation distants pouvant être proposés par des tiers
Détection intégrée de malware
                                                                                           1.   Microsoft Defender est le composant au cœur de la
                                                                                                défense anti-malware de Windows 8 fournissant la
                                                                                                détection basée signature et de comportement du

Protection contre


                                  Defender Offline
les vulnérabilités
Détection basée




                                                     depuis le Cloud
 comportement
                                                                                                malware à la fois de façon passive (analyse
  Détection de




                                                      Restauration
   Dynamique
   Traduction
    Signature




                                                                                                périodique) et active (surveillance de




                                                                       Defender / System
                                                                                                comportement)




                                                                       Center Endpoint
                                                                                           2.   En service par défaut et configuré à travers l’Action
                                                                                                Center sur Windows 8. Si un utilisateur installe une




                                                                       Protection
                                                                                                solution anti-malware tierce, alors Defender est mis
       Plateforme Antimalware                                                                   hors service. Si la solution tierce devient inactive
                                                                                                souvent en raison de l’expiration de l’essai), après
  Protections Mémoire et Processus                                                              15 jours l’utilisateur est progressivement
   (ASLR, DEP, AppLocker, SmartScreen, etc.)                                                    encouragé à remédier à la situation, y compris par
                                                                       Plateform

                                                                       Windows
                                                                                                la réactivation automatique de Defender
      Early Launch Antimalware                                             e               3.   Les entreprises peuvent utiliser des solutions
                                                                           8
  Protections de l’intégrité du Boot
                                                                                                tierces ou System Center Endpoint Protection qui
                                                                                                fournit le support d’une gestion basée sur des
                                                                                                politiques et la génération de rapports consolidés.
                                                                                                Le cœur du moteur anti-malware est le même.
Pare-feu pour restriction de traffic entrant et
sortant
• Différences fonctionnelles limitées entre Windows 7 et
  Windows 8. Changement :
   – Support de IKEv2 pour le mode transport IPSec
   – Utilisation de cmdlets Powershell pour la configuration
   – Règles pour les Windows Store Apps
• 3 profils clé : Domain, Public et Private. Plusieurs profils
  peuvent être actifs simultanément, c’est-à-dire qu’un
  utilisateur peut être sur un hotspot Wi-Fi (profil Public)
  tout en étant connecté à un VPN (profil Domain)
• Points clés de configuration à noter :
   – Le filtrage sortant permet tous les accès par défaut
   – La journalisation est hors service par défaut
Pare-feu pour restriction de trafic entrant et
sortant
•   Windows Firewall with Advanced Security peut aussi être utilisé pour
    configurer comment et quand l’authentification doit survenir
•   Ces paramétrages sont beaucoup plus importants avec Windows 8 car ils sont
    essentiels pour IPSec et DirectAccess
•   Notez au passage, qu’ils n’autorisent ni n’interdisent une connexion – c’est le
    travail des règles du pare-feu
                                    Restreint en fonction de critères comme l’auth.
                 Isolation
                                    Kerberos
                 Auth exemption     Ne requiert pas d’auth. entre les hôtes spécifiques

                 Server-to-server   Auth. requise entre les hôtes spécifiques

                 Tunnel             Force l’utilisation d’un tunnel

                 Custom Rule        Aucun des précédents
Isoler les Windows Store Apps avec
Windows Firewall with Advanced Security
•   Les développeurs de Windows Store Apps peuvent déclarer certaines
    capacités de leurs apps (capabilities) pour les classes d’accès réseau requises
    par l’App en question
•   Quand l’App est installée, des règles approximatives du pare-feu sont créées
    automatiquement pour permettre l’accès
•   Les administrateurs peuvent alors personnaliser la configuration du pare-feu
    pour raffiner cet accès s’ils désirent davantage de contrôle sur l’accès réseau
    pour l’App. Important – la capacité n’est pas contrôlée par les règles du pare-
    feu elles-mêmes
•   Les politiques de groupe peuvent configurer ces restrictions sur une base par
    App ou par capacité
•   Ces frontières réseau aident à assurer que les Apps qui ont été compromises
    peuvent seulement accéder les réseaux auxquels elles ont explicitement reçu
    l’accès . Ceci réduit de manière significative le périmètre de leur impact sur les
    autres Apps, l’ordinateur et le réseau. De plus, les Apps peuvent être isolées et
    protégées d’un accès malfaisant depuis le réseau
Isoler les Windows Store Apps (suite)
        Fournis l’accès entrant et sortant aux réseaux intranet que l’utilisateur a
        désigné comme un réseau « home » ou « work », ou, si le réseau a un
        contrôleur de domaine authentifié, l’accès entrant aux ports critiques est
        toujours bloqué




        Fournit l’accès sortant à l’Internet et aux réseaux indignes de confiance (par
        exemple, les réseaux intranet où l’utilisateur a désigné le réseau comme
        « Public »). La plupart des Apps qui requièrent un accès Internet utilisent cette
        capacité



        Fourni l’accès entrant et sortant à l’Internet et aux réseaux indignes de
        confiance. Cette capacité est un sur-ensemble de la capacité Internet (Client).
        L’accès entrant aux ports critiques est toujours bloqué.




        Fournit une communication near-field communication (NFC) avec les
        terminaux qui sont en proximité de l’ordinateur. « Proximity » peut être utilisé
        pour envoyer des fichiers ou se connecter à une application sur un terminal
Sécurisation des Apps
• La sécurisation des Apps avec, en
  particulier, la notion d’AppContainer est
  présentée en détail dans la session SEC313
Sécuriser les connexions – Contrôle d’accès
moderne
        Authentification avec cartes à puce virtuelles
        • Manière facile à déployer et peu coûteuse de mettre en place une authentification à
          plusieurs facteurs
        • Fournit une expérience « sans couture » et toujours prête pour les utilisateurs finaux
        • Tire parti du hardware de sécurité qui est inclus dans de nombreux terminaux


        Direct Access
        • Toujours connecté. Si vous êtes sur Internet, vous êtes sur le réseau d’entreprise
        • Connectivité sécurisée de bout en bout avec chiffrement fort
        • Options d’authentification flexibles à un ou plusieurs facteurs
        • Assure la conformité de l’état de santé du poste avant l’accès au réseau d’entreprise
        • Fournit les correctifs quand les postes sont connectés à l’Internet
        • Déployé facilement et sans changement au sein de l’infrastructure réseau existante
Contrôle d’accès moderne
• Problème
  – L’authentification multi-facteur est difficile à mettre en
    œuvre en raison des défis en termes de
    provisionnement, du coût et du support
• Besoin Windows 8
  – Fournir de nouvelles formes d’authentification de telle
    façon que l’authentification multi-facteur puisse être
    plus largement adoptée
Authentification basée sur un TPM
       ENTREPRISE                                  CONSOMMATEUR
• Besoins                                      •   Besoins
   – La machine et l’identifiant de                 –   Une banque doit « connaitre » son client
                                                        en utilisant une méthode disponible sur
     l’utilisateur utilisent des certificats
                                                        le marché afin de remplir, par exemple,
     protégés par le hardware sans                      les exigences de la FFIEC (Federal
     nécessiter des périphériques                       Financial Institutions Examination
     séparés                                            Council) - US
• Scénarios clés                               •   Scénarios clés
   – Authentification des utilisateurs              –   Certificat utilisateur lié au TPM
     pour les accès distants                        –   Authentification utilisateur plus forte
                                                        sans nécessiter le besoin de mots de
   – Signature d’email/document
                                                        passe complexes ou de second facteur
   – Authentification forte des machines                externe
     sur le réseau
Nouveau mécanisme d’authentification
• Le Windows Smartcard Framework a été
  étendu pour supporter les TPM
• Permet à des terminaux que l’utilisateur
  utilise déjà (PC) d’être utilisés comme des
  cartes à puce virtuelles
• Le TPM protège la carte à puce virtuelle et
  interdit l’export de certificat
Cartes à puce virtuelles : une option pour
une authentification à 2 facteurs
• Fournit les trois fonctions les plus importantes
  des cartes à puce
  – Interdiction de l’exportation
  – Chiffrement isolé
  – Protection contre les attaques
• Pas de coût en dehors du fait d’avoir un poste
  muni d’un TPM
• Facile à utiliser, difficile à voler
• Authentification à 2 facteurs
Comparaison technique
Cartes à puce                                            Cartes à puce virtuelles (TPM)
Protège les clés privées en utilisant un dispositif de   Protège les clés privées en utilisant un dispositif de
chiffrement intégré dans la carte à puce                 chiffrement intégré dans la carte à puce virtuelle
Stocke les clés privées dans une zone mémoire non Stocke les clés privées sur le disque dur, en
volatile de la carte, accessible uniquement depuis n’utilisant leur forme déchiffrée que sur le TPM lui-
la carte                                           même
Non export garanti par le fabricant de la carte qui      Non export garanti par le fabricant du TPM qui
peut revendiquer l’isolation des informations            peut revendiquer l’impossibilité pour un adversaire
privées des accès de l’OS                                de répliquer ou de supprimer le TPM
Les opérations de chiffrement sont effectuées et         Les opérations de chiffrement sont effectuées et
isolées au sein de la carte                              isolées au sein du chip TPM sur le poste de
                                                         l’utilisateur
La protection contre les attaques est fournie par la     La protection contre les attaques est fournie par le
carte elle-même                                          TPM
Comparaison fonctionnelle
Carte à puce                                           Carte à puce virtuelle (TPM)
L’utilisateur doit disposer de sa carte à puce et de   Les crédentités ne peuvent être exportés depuis un
son lecteur pour accéder à une ressource réseau        poste donné, mais elles peuvent être réémises pour
                                                       le même utilisateur sur un autre poste
La portabilité des crédentités est obtenue en          Stocke les clés privées sur le disque dur, en
insérant la carte à puce dans un lecteur sur un        n’utilisant leur forme déchiffrée que sur le TPM lui-
autre poste                                            même
Plusieurs utilisateurs peuvent accéder à des      Plusieurs utilisateurs peuvent accéder aux
ressources réseau sur la même machine en insérant ressources réseau depuis la même machine chacun
chacun leur carte à puce personnelle              d’entre eux se voyant doté d’une carte à puce
                                                  virtuelle sur cette machine
Comparaison en termes de sécurité
Carte à puce                                            Carte à puce virtuelle (TPM)
La carte est conservée par l’utilisateur, ce qui rend   La carte est stockée sur l’ordinateur de l’utilisateur
les scénarios d’attaque difficiles sur le plan          qui peut être laissé seul ou oublié, ce qui augmente
logistique                                              la fenêtre de risque pour une attaque
La carte à puce est généralement utilisée pour un       La carte à puce virtuelle est installée sur un
seul scénario, ce qui peut entrainer son oubli ou sa    terminal qui a d’autres utilités pour l’utilisateur
perte                                                   dont la responsabilité est donc plus fortement
                                                        sollicitée
Si la carte est perdue ou volée, l’utilisateur ne       La carte à puce virtuelle est installée sur un
remarquera son absence que s’il a besoin de se          terminal et est utilisée pour d’autres buts ; sa perte
connecter                                               sera donc remarquée plus rapidement
Utilisation pour l’authentification
• Authentification à deux facteurs pour l’accès distant
   – L’accès au domaine (comme chez Microsoft)
   – Très semblable à une carte à puce bien que celle-ci soit toujours
     insérée – on doit seulement saisir le code PIN
• Authentification du client
   – Via SSL ou quelque chose de ressemblant
   – Utilisation potentielle au sein de banques, ressources de l’organisation
     accessibles via un navigateur, etc.
• Redirection de la carte à puce virtuelle pour les
  connexions distantes
   – Utilisation d’une carte à puce virtuelle locale sur une machine distante
   – Les crédentités peuvent être utilisées comme si elles avaient été
     créées sur le PC distant
Utilisation pour la protection
• Chiffrement des mails via S/MIME
   – Comme les cartes conventionnelles, les cartes virtuelles détiennent
     des clés qui peuvent être utilisées pour le chiffrement et le
     déchiffrement des mails
   – Le chiffrement / le déchiffrement est effectué au sein du TPM, donc
     plus sécurisé que les autres modes de stockage de clés
• BitLocker pour les volumes de données
   – Les clés utilisées par BitLocker peuvent être stockées sur des cartes à
     puce virtuelles
   – Donc, pour accéder au volume, ce dernier ne peut être retiré de la
     machine originelle et l’utilisateur doit connaitre le code PIN de la
     carte à puce virtuelle
   – A la fois le disque local et le disque portable (pour les sauvegardes)
     peuvent être chiffrés
Sécuriser les ressources – Protéger les données
sensiblesBitLocker to Go
BitLocker et
          Provisionnement amélioré
          •Processus de paramétrage intégré du chiffrement BitLocker qui simplifie le provisionnement de postes sécurisés
          •Bien meilleures performances qui améliore de façon spectaculaire le temps de provisionnement d’un poste (min vs. h.)
          •Provisionne BitLocker sur n’importe que terminal ayant le logo Windows sans restrictions régionales


          Protection de volume pour l’entreprise
          •Options flexibles de protection de volume et amélioration de la sécurité sur les disques Windows 8 afin d’améliorer
           l’expérience des utilisateurs finaux
          •Nouvelles options de protection pour que BitLocker soit utilisé sur un ensemble plus large de clients et de serveurs


          Prêt pour les serveurs
          •Permet le chiffrement de volumes sur les SAN
          •Supporte la protection de volumes sur des serveurs en cluster
          •Supporte l’authentification multi-facteur en mode inattendu

          Amélioration de la performance
          •Amélioration de la performance système à travers l’utilisation des Self Encrypting Drives (SED) (eDrive)
          •Améliore de façon spectaculaire le temps pris pour chiffrer les nouveaux volumes (minutes vs. heures)
Chiffrement omniprésent
•   Difficultés actuelles
     –   Quand on provisionne un nouveau poste, le processus de chiffrement peut prendre plus d’une heure
     –   Le chiffrement effectué en logiciel a un impact sur la performance globale du système et la durée de la
         batterie
             • Windows ne supporte pas les disques auto-chiffrants qui résolvent ce problème et sont
                disponibles aujourd’hui
     –   Les PC qui sont patchés et nécessitent un redémarrage sont incapables de démarrer en mode
         « inattendu » quand on utilise un code PIN
     –   Tous les PC ne sont pas équipés de TPM
     –   Il est nécessaire de requérir le chiffrement avant de donner accès à l’email
•   Les exigences de Windows 8
     –   Un large support pour le chiffrement des disques sur toutes les architectures matérielles
     –   Réduire le temps pour chiffrer un nouveau PC
     –   Améliorer les performances du système et la durée de la batterie
     –   Supporter un vaste ensemble de périphériques de stockage et de configurations (eDrives, SAN,
         Clusters,…)
     –   Améliorer le processus de patching quand un 2ème facteur d’authentification peut être utilisé
     –   Supporter à la fois les TPM discrets et ceux basés sur le firmware (UEFI)
Amélioration du provisionnement
• Support par BitLocker du Trusted Platform Module
  (TPM)
   – Support pour TPM v1.2 et v2.0
   – Support pour des TPM discrets et en firmware
   – L’installation de Windows provisionnera un firmware basé sur le
     TPM pour les machines qui supportent des environnements
     d’exécution sécurisés (ARM TrustZone; Platform Trust Technology
     (PTT) Intel)
• La flexibilité des options de chiffrement améliore le
  processus de provisionnement
   – Chiffrement de l’espace disque utilisé seulement ou le disque
     entier
   – Pré-provisionnement du PC avec BitLocker avant de procéder à
     l’installation de Windows                                         48
Nouvelles options pour les protecteurs
Volume de l’OS                            Voumes de données                               Volumes amovibles
TPM seul                                  Password Protector                              Password Protector
TPM+PIN                                   Smartcard Protector                             Smartcard Protector
TPM+StartupKey                            Compte AD ou Groupe                             Compte AD ou Groupe
TPM+PIN+StartupKey                        (nouveau)                                       (nouveau)
StartupKey Protector                      Public Key Protector (DRA – Data                Public Key Protector (DRA – Data
Network Protector (nouveau)               Recovery Agent)                                 Recovery Agent)
Password Protector (nouveau)
Public Key Protector (DRA – Data
Recovery Agent)

 •   Password Protector (volume de l’OS)
      –   Permet l’utilisation d’un mot de passe sur le volume de l’OS. Utile pour les postes sans TPM
 •   Network Protector
      –   Permet à des PC connectés au réseau de l’organisation de booter sans PIN
      –   Simplifie le processus de patch pour les serveurs et les postes, wake on LAN, facilite l’usage pour les utilisateurs finaux
 •   Active Directory Account/Group Protector
      –   Permet à un volume de données d’être déverrouillé quand un utilisateur ou un compte de machine accède le volume
Nouvelles options de protecteur : Network
Protector
• Les possibilités et le comportement du Network Protector
   – Utilise en combinaison avec TPM + PIN
   – PIN non nécessaire si le boot a lieu quand on est connecté au réseau d’entreprise
   – PIN nécessaire si le boot a lieu quand on n’est pas connecté au réseau d’entreprise
• Exigences
   – Client – TPM, UEFI 2.3.1 avec support pour DHCPv4 et DHCPv6 (exigence pour le logon
     Windows 8), port LAN connecté
   – Serveur – Windows Server 2012 avec Windows Deployment Services (WDS)
• Processus de boot réseau
   – Le PC boote et utilise DHCP pour contacter un serveur WDS si une connexion cablée
     existe
   – Si le serveur WDS est disponible, le client requiert une clé depuis le serveur WDS ; si non
     un code PIN est nécessaire
   – Le serveur WDS valide le client et envoie une clé de déverrouillage au client à travers le
     réseau
   – Le client reçoit la clé et déverrouille le volume de l’OS Windows. Le système boote

                                                                                                   50
Récupération du volume client
    • Options de sauvegarde de la clé de recouvrement
             Windows 7                Windows 8
             Active Directory         Active Directory
             Clé USB                  Clé USB
             Impression               Impression
             Data Recovery Agent      Data Recovery Agent
                                      Skydrive (nouveau)

•     Recouvrement de volume via Skydrive
      •   Utilisé pour des machines non jointes au domaine
      •   Séquestre les clés pour les volumes OS, données, et amovibles
      •   Skydrive dispose d’une interface utilisateur qui fournira l’accès
          aux clés de recouvrement
                                                                              51
Support des Self Encrypting Drives
(eDrives) en termes de performance de BitLocker avec
• Implications
  Windows 7
   – Surcoût pendant le chiffrement, le démarrage, les opérations normales, etc.
   – Implications exacerbées sur des portables ou des tablettes sur batteries
   – Disques auto-chiffrants non supportés avec Windows 7
• Windows 8 améliore les performances de BitLocker et supporte
  les eDrives
   – Le traitement du chiffrement est déporté vers le hardware
   – Ceci permet de réduire l’utilisation du courant et augmente la durée des
     batteries
   – Suppression du temps initial de chiffrement des volumes. Amélioration des
     opérations normales
   – BitLocker gère les clés (AD et MBAM)
   – Les systèmes sans Self Encrypting Drives utilisent un chiffrement logiciel

                                                                                   52
Support des Storage Area Networks (SAN)
• Support par BitLocker des SAN
   – Support de volumes sur iSCSI et Fiber Channel
   – Le chiffrement d’un gros volume vide est rapide quand on utilise l’option
     « chiffrement de l’espace utilisé seulement »
   – Supporte des volumes de données sur un LUN
   – Le Thin Provisioning est détecté automatiquement
• Exigences
   – Le Host Bus Adapter (HBA) doit remplir les exigences du logo Windows
   – Les RAID doivent remplir les exigences du logo Windows
• Remarque : les fonctionnalités RAID telles que la déduplication
  et le déchargement de la copie ne fonctionneront pas quand
  un volume est protégé par BitLocker


                                                                                 53
Support des clusters
• BitLocker support les clusters Windows
  – Volumes partagés Cluster (CSV - Cluster Shared Volumes)
  – Volumes de basculement traditionnels
• Options protecteurs
  – Utilisation de l’AD via Account/Group Protector
  – L’identité Cluster Name Object (CNO) déverrouille le volume
  – Le cluster déverrouille le volume quand il le monte
• Exigence
  – Un contrôleur de domaine Windows Server 2012

                                                                  54
Besoins hardware et utilisation par les
   différentes fonctionnalités
         Fonctionnalité                                                                               TPM*         UEFI          eDrives
  1      BitLocker: chiffrement volume                                                                     X            X            X**
  2      BitLocker: déverouillage volume réseau                                                            X            X
  3      Boot sécurisé                                                                                                  X
  4      Boot sécurisé : ELAM                                                                                           X
  5      Evaluation du boot                                                                                X            X
  6      Cartes à puce virtuelles (TPM)                                                                    X            X
  7      Stockage de certificat (basé TPM)                                                                 X            X
  8      Provisionnement automatique du TPM                                                                X            X


* La fonctionnalité tire parti du TPM discret. S’il n’y en a pas, il est possible d’utiliser l’environnement d’exécution sécurisé du firmware
** Permet de bénéficier d’amélioration de performance mais ne requiert pas d’eDrive
CONTRÔLE D’ACCÈS DYNAMIQUE
                                  ET CLASSIFICATION DES DONNÉES
Windows 8 : évolution de l’infrastructure en matière de sécurité

Windows 8 : contrôle d’accès dynamique et classification des données

Windows 8 : les fondamentaux
                                                                       56
Protéger l’accès aux ressources
     Contrôle d’accès dynamique
       •   Le contrôle d’accès s’adapte automatiquement aux changements au sein de
           l’environnement et réduit de façon spectaculaire le coût de gérer et de sécuriser
           l’accès aux ressources sur les serveurs de fichiers
       •   L’accès aux ressources est fondés sur des étiquettes qui peuvent être ajoutées
           dynamiquement aux ressources en fonction de la localisation, de l’application ou
           être ajoutées manuellement par le possesseur du contenu
       •   Un système de contrôle intelligent tire parti des propriétés des utilisateurs et des
           états du terminal pour prendre des décisions d’autorisation
       •   Peut assurer que les ressources sont chiffrées et restent sur des systèmes et des
           disques (chiffrés) sécurisés

       •   Facile à déployer et à administrer grâce à des fonctionnalités avancées de
           création et d’audit des contrôles d’accès
Quelques évolutions importantes pour
Windows 8 sur le sujet de l’identité
• Introduction du modèle fondé sur les revendications
  au sein de la plateforme Windows
• Introduction d’un modèle permettant de cibler les
  politiques d’accès et d’audit sur la base d’un étiquetage
  afin de conduire la mise en place d’une politique de
  sécurité efficace et d’implémenter ce modèle pour les
  fichiers
• Combler le gap entre l’informatique et les propriétaires
  d’information en utilisant une notion d’étiquetage pour
  les fichiers
Les évolutions avec Windows 8/Windows
Server 2012
  Placer les revendications au cœur de la plateforme d’authentification via Kerberos avec
  Active Directory


      Améliorer la plateforme d’autorisation pour les fichiers pour créer et gérer des
      politiques d’accès plus riches avec des revendications


        Améliorer la plateforme d’audit des fichiers pour mettre en place des contrôles d’audit
        efficaces au sein de l’organisation


      Projeter les revendications utilisateurs et terminaux pour une consommation par les .apps
      .NET


  Améliorer l’infrastructure de gestion de fichiers
Les évolutions avec Windows 8/Windows
Server 2012
  Placer les revendications au cœur de la plateforme d’authentification via Kerberos avec
  Active Directory


      Améliorer la plateforme d’autorisation pour les fichiers pour créer et gérer des
      politiques d’accès plus riches avec des revendications


        Améliorer la plateforme d’audit des fichiers pour mettre en place des contrôles d’audit
        efficaces au sein de l’organisation


      Projeter les revendications utilisateurs et terminaux pour une consommation par les .apps
      .NET


  Améliorer l’infrastructure de gestion de fichiers
Authentification
  QUOI DE NEUF
• Le Contrôleur de Domaine émet des groupes et… des revendications !
   – Les revendications (utilisateur et terminal) proviennent des    Jeton Windows 8
     attributs d’identité au sein d’AD
   – Identité composite – fait correspondre un utilisateur au                Owner


     terminal qui sera autorisé comme un principal (au sens                  Group

     Kerberos)
                                                                    User        Groups
   – Les revendications sont délivrées au sein d’un PAC Kerberos
• Un jeton Windows a des sections                                               Claims


   – Données utilisateur et terminal                                Device      Groups

   – Revendications et groupes !                                                Claims

• OID vers revendication pour les autorisations basés sur les
  certificats
• Support pour transformation des revendications inter-forêts
Les évolutions avec Windows 8/Windows
Server 2012
  Placer les revendications au cœur de la plateforme d’authentification via Kerberos avec
  Active Directory


      Améliorer la plateforme d’autorisation pour les fichiers pour créer et gérer des
      politiques d’accès plus riches avec des revendications


        Améliorer la plateforme d’audit des fichiers pour mettre en place des contrôles d’audit
        efficaces au sein de l’organisation


      Projeter les revendications utilisateurs et terminaux pour une consommation par les .apps
      .NET


  Améliorer l’infrastructure de gestion de fichiers
Autorisation
MISE A JOUR DU MODELE d’ACL
   Windows 7             Avec Windows 8                                     Exemple
                                                                  User.memberOf (USA-Employees)
                                                              AND User.memberOf (Finance-Division)
                                                              AND User.memberOf (Authorization-Project)


                                                                  User.Division = ‘Finance’
                                                              AND User.CostCenter = 20000



                                                                  User.Division = ‘Finance’
                                                              AND Device.ITManaged = True



                                                              IF (Resource.Impact = ‘HBI’)
                                                              ALLOW AU Read User.EmployeeType = ‘FTE’



  • Support de revendications dans les ACE gérées comme des chaînes SDDL (Security Descriptor
                                       Definition Language)
   • Ajouts/suppression de chaînes SDDL via des fonctions standards de manipulation de chaînes
Politique de contrôle d’accès basée sur
des expressions

                          Active                                    Serveur de
                          Directory                                 fichiers

 Revendications utilisateur             Revendications terminal         Propriétés ressources
 User.Department = Finance            Device.Department = Finance   Resource.Department = Finance
   User.Clearance = High                Device.Managed = True          Resource.Impact = High



                              POLITIQUE D’ACCES
                   S’applique à : @Resource.Impact == “High”
Allow | Read, Write | if (@User.Clearance == “High”) AND (@Device.Managed ==
                                      True)
Autorisation
AMELIORATIONS
• Amélioration des API SDDL pour fonctionner avec
  les revendications
• Application des Security Descriptors aux objets
• Amélioration des API CheckAccess en mode user
  pour fonctionner avec les revendications
•   Création et distribution centrale des politiques d’accès
     – Politique d’accès centralisée à l’information créée dans l’AD
     – Politique d’accès distribuée via les politiques de groupe vers les serveurs cibles
•   Nouvelle IHM pour les ACL
     – Fournir le support des ACL avec des revendications pour les utilisateurs finaux
     – Peut être invoquée depuis une application custom
Les évolutions avec Windows 8/Windows
Server 2012
  Placer les revendications au cœur de la plateforme d’authentification via Kerberos avec
  Active Directory


      Améliorer la plateforme d’autorisation pour les fichiers pour créer et gérer des
      politiques d’accès plus riches avec des revendications


        Améliorer la plateforme d’audit des fichiers pour mettre en place des contrôles d’audit
        efficaces au sein de l’organisation


      Projeter les revendications utilisateurs et terminaux pour une consommation par les .apps
      .NET


  Améliorer l’infrastructure de gestion de fichiers
Audit
CE QUI EST NOUVEAU
• Cibler des audits sur la base d’expressions fondées sur des
  revendications
   – N’auditer que selon dont vous avez besoin !
      • Ex: Auditer seulement l’accès à « mes données sensibles » par « mes sous-
         traitants »
   – Réduire le volume d’audit et simplifier l’analyse et la gestion des audits
• Amélioration des métadonnées du schéma dans les
  événements d’audit
   – Permet un meilleur reporting et de meilleures corrélations
• Plateforme de test
   – Tester les changements de politiques d’accès avec ZERO impact sur les
     opérations et la production
   – Tester les différences de captures d’événements d’audit lors des accès
Les évolutions avec Windows 8/Windows
Server 2012
  Placer les revendications au cœur de la plateforme d’authentification via Kerberos avec
  Active Directory


      Améliorer la plateforme d’autorisation pour les fichiers pour créer et gérer des
      politiques d’accès plus riches avec des revendications


        Améliorer la plateforme d’audit des fichiers pour mettre en place des contrôles d’audit
        efficaces au sein de l’organisation


      Projeter les revendications utilisateurs et terminaux pour une consommation par les .apps
      .NET


  Améliorer l’infrastructure de gestion de fichiers
AD FS 2.1 dans Windows 8/Windows
Server 2012
• AD FS 2.1 est disponible en standard sous la forme
  d’un server role au sein de Windows Server 2012
  – Le rôle existant d’ ADFS 1.x a été remplacé par le nouvel AD FS 2.1
  – Le Claims Aware Web agent continuera d’être livré sous la forme
    d’un composant « déprécié » afin de permettre la continuité
    opérationnelle des applications existantes et construire sur la base
    de la dll de SSO d’ADFS 1.x
  – Ajoute le support pour permettre l’émission de revendications
    terminal depuis le ticket Kerberos pour des applications Claims
    Aware
  – Pas de support d’AD LDS comme un espace de stockage pour
    l’authentification
  – Pas de support pour un ‘NT token’ web agent
Les évolutions avec Windows 8/Windows
Server 2012
  Placer les revendications au cœur de la plateforme d’authentification via Kerberos avec
  Active Directory


      Améliorer la plateforme d’autorisation pour les fichiers pour créer et gérer des
      politiques d’accès plus riches avec des revendications


        Améliorer la plateforme d’audit des fichiers pour mettre en place des contrôles d’audit
        efficaces au sein de l’organisation


      Projeter les revendications utilisateurs et terminaux pour une consommation par les .apps
      .NET


  Améliorer l’infrastructure de gestion de fichiers
Infrastructure de classification de fichiers
Information d’étiquetage

    Basé sur l’emplacement

                                                                                               Classificateur de
                                                                                               contenu intégré
        Manuel




         Classification automatique                                                               Plugin de
                                                                                              classification tiers


                                      // instantiate new classification manager
                                      FsrmClassificationManager cls =
                                                      new FsrmClassificationManager();
    Application                       //get defined properties
                                      ICollection c = cls.EnumPropertyDefinitions
                                      (_FsrmEnumOptions.FsrmEnumOptions_None);           Points d’intégration
                                      // inspect each property definition
                                      foreach (IFsrmPropertyDefinition p in c)
                                      {
                                      /*...*/
                                      }
Comment peut-on classifier l’information ?
  En fonction de    • Basé sur le répertoire dans lequel est créée le fichier

  l’emplacement     • Déterminé par le « responsable métier » qui définit le répertoire



                    • Spécifié par l’utilisateur

     Manuel         • On peut utiliser des modèles de documents pour les paramètres par défaut
                    • Applications de création de données qui marquent les fichiers créées par les
                      utilisateurs


   Classification   • Classification automatique basée sur le contenu et d’autres caractéristiques

   automatique      • Bonne solution pour classifier une grosse masse d’information déjà existante




   Application      • Applications métier qui stockent des informations sur les serveurs de fichiers
                    • Applications de gestion de données
Propriétés de classification de base
Domaine                 Propriétés                             Valeurs

 Information Privacy   Personally Identifiable Information   High; Moderate; Low; Public; Not PII
                       Protected Health Information          High; Moderate; Low
                       Confidentiality                       High; Moderate; Low
Information Security
                       Required Clearance                    Restricted; Internal Use; Public
                                                             SOX; PCI; HIPAA/HITECH; NIST SP 800-53; NIST SP 800-122; U.S.-EU Safe Harbor Framework; GLBA; ITAR;
                       Compliancy                            PIPEDA; EU Data Protection Directive; Japanese Personal Information Privacy Act

       Legal           Discoverability                       Privileged; Hold
                       Immutable                             Yes/No
                       Intellectual Property                 Copyright; Trade Secret; Parent Application Document; Patent Supporting Document


Records Management Retention                                 Long-term; Mid-term; Short-term; Indefinite
                   Retention Start Date                      <Date Value>

                       Impact                                High; Moderate; Low

   Organizational      Department                            Engineering ;Legal; Human Resources …

                       Project                               <Project>
                       Personal Use                          Yes/No
Infrastructure de classification de fichiers
Appliquer la politique en fonction de la classification



                                                        Fait correspondre le
Classifier le fichier                                   fichier à la politique



                        Appliquer la politique
                             Contrôle d’accès
                             Contrôle d’audit
                                Rétention
                             Chiffrement RMS     Points d’intégration
                              Autres actions
                                                                                 84
Contrôle d’accès dynamique en bref
  Identifier les                                                                     Protéger les
                        Contrôler l’accès             Auditer l’accès
    données                                                                           données

                           Conditions d’accès           Conditions d’audit
Etiquetage manuel                                                                     Protection RMS
                              basées sur des               basées sur des
                                                                                     automatique des
par les propriétaires     expressions utilisant        expressions utilisant
                                                                                   documents Office en
    de contenus               revendications               revendications
                                                                                  fonction des étiquettes
                        utilisateurs et étiquettes   utilisateurs et étiquettes

                          Politiques d’accès          Politiques d’audit qui       Protection en quasi-
   Classification
                         centrales basées sur        peuvent être appliquées      temps réel juste après
   automatique
                          les étiquettes des          sur différents serveurs      que le fichiers ait été
   (étiquetage)                                              de fichiers
                                fichiers                                                 étiqueté

                                                      Staging des audits pour
                                                                                  Extensibilité pour des
                         Remédiation en cas          simuler les changements
Etiquetage applicatif                                                             protecteurs différents
                          de refus d’accès             de politique dans un
                                                        environnement réel           de RMS Office
LES FONDAMENTAUX

Windows 8 : évolution de l’infrastructure en matière de sécurité

Windows 8 : contrôle d’accès dynamique et classification des données

Windows 8 : les fondamentaux
                                                                       86
Windows 8 et atténuation des exploits
mémoire buffer overflow et les autres attaques mémoire
• Menace : Les
  permettant le contrôle d’un pointeur en mémoire et l’exécution
  de code arbitraire
• La situation pour ce qui concerne les exploits mémoire :
   –   Seuls 6 % des systèmes ont été compromis à travers des exploits mémoire (SIR)
   –   La plupart des exploits ciblent des applications tierces et d’anciens logiciels (XP)
   –   La plupart des exploits échouent quad les protections mémoire sont en service
   –   Mais les exploits de type zéro-day existent et les attaquants se focalisent vers
       les zones mémoire moins protégées
• Windows 8 introduit au moins 20 mécanismes complémentaires
  de sécurisation de la mémoire qui atténuent des ensembles de
  vulnérabilités, cassent certaines techniques d’exploitation
  connues et augmentent le coût de l’exploitation de ces
  vulnérabilités
Windows 8 et atténuation des exploits
mémoire
                           Windows                                               Windows
                                  7
          Protections /GS disponible pour la compilation avec                            8
                                                                    Amélioration /GS, vérifications de plages,
          VS 2010                                                   optimisation par scellement, virtual table guard

          Introduit avec Vista, les attaquants s’appuient sur les   ASLR forcé, randomisation de bas en haut / haut
          lacunes dans ASLR                                         en bas, entropie élevées

          Renforcement effectif de la Heap, nouvelles               Contrôles d’intégrité, pages de garde, et
          techniques d’attaque                                      randomisation de l’ordre d’allocation

          Exploits à distance limités, mais la plus grand partie    DEP, ASLR, SMEP/PXN, protection contre
          de la mémoire Kernel est marquée exécutable               déréférencement Null, contrôles intégrité

          D’avantage de sécurité par défaut mais on repose          Défauts plus sévères pour les Apps, IE10, Office,
          sur l’usage applicatif                                    terminaux ARM
Génération de code : amélioration /GS
• Amélioration /GS pour la protection contre les stack
  buffer overrun
   – Disponible avec Visual Studio 2010, amélioré avec VS2012
   – Windows 8 construit entièrement avec l’amélioration /GS
• Les heuristiques /GS protègent désormais
  davantage de fonctions
   – Tableaux ne contenant pas de pointeurs et structures C
• Optimisation /GS supprime les contrôles non
  nécessaires
• Fermeture des lacunes dans la protection
   – Exemples : MS04-035, MS06-054, MS07-017
Génération de code : scellement
• Si une classe est « scellée », elle ne peut pas avoir
  de classe dérivée. D’où il s’en suit que les appels à
  des méthodes virtuelles deviennent des appels
  directs
  class ClassName sealed : public Cinterface
  { … }

• Eliminer les appels indirects réduit les surfaces
  d’attaques pour les exploitations :
      • Atténue des vulnérabilités telles que CVE-2011-1996
      • A titre d’exemple, on a « dévirtualisé » 4500 appels dans
        mshtml.dll
Génération de code : vérification de plages
• Insertion par le compilateur d’un contrôle des
  limites des tableaux

              If (i >= ARRAYSIZE(Buffer)) {
                 __report_rangecheckfailure();
              }




• Atténue complètement certaines vulnérabilités
      • CVE-2009-2512, CVE-2010-2555
• Limité à des scenarios spécifiques (notamment pile
  de taille fixe)
Génération de code : Virtual Table Guard
• Atténuation probabiliste d’une éventuelle
  corruption de pointeur vtable permis par une
  annotation de l’interface
• Une entrée supplémentaire est ajoutée à la
  vtable, dont l’emplacement mémoire est
  randomisé par ASLR
• Un contrôle est ajouté aux appels de la
  méthode virtuelle pour trouver l’entrée
  supplémentaire et si l’on arrive pas à la trouver,
  on « met à mort » le processus
Address Space Layout Randomisation
• ASLR a été introduit d’abord avec Windows Vista et a conduit à une
  évolution majeure dans l’approche des attaquants
• Les attaquants dépendent maintenant :
   –   D’EXE/DLL dont l’édition de lien n’a pas été faites avec /DYNAMICBASE
   –   De l’éparpillement de l’espace d’adressage (heap/JIT)
   –   Des régions mémoire prévisibles
   –   Des divulgations d’information
• Avec Windows 8, les processus peuvent désormais forcer les images
  non-ASLR à être randomisée (Force ASLR) :
   – Se comporte comme si la base préférée d’une image n’était pas disponible
   – La randomisation de bas en haut fournit l’entropie nécessaire pour ces images
   – Les processus peuvent choisir la mise en service de ce comportement
• Dans Windows 8, un grand nombre de vecteurs de divulgation
  d’information ne sont plus utilisables :
   – ImagePointers a été supprimé de SharedUserData (une structure à la même adresse
     relative dans tous les processus)
Address Space Layout Randomisation

             Windows 7 :
                •   Heaps et stacks sont randomisés
                •   PEB/TEB sont randomisés mais avec une
                    entropie limitée
                •   VirtualAlloc et MapViewOfFile ne sont pas
                    randomisés
                •   Il peut donc exister des régions mémoire
                    prévisibles

             Windows 8 :
                •   Toutes les allocations de bas en haut / de haut
                    en bas sont randomisées
                •   Effectué en biaisant les adresses de base des
                    allocations
                •   PEB/TEB reçoivent maintenant beaucoup plus
                    d’entropie
                •   Les 2 sont au choix (EXE marqué
                    /DYNAMICBASE)
Entropie élevée pour les processus 64 bits
                                 Randomisation haute entropie de bas en haut
•    ASLR avec Windows 8 tire
                                 • 1 To de variation dans la start address de bas en
     parti du grand espace         haut
     d’adressage (8 To) des      • Casse l’éparpillement traditionnel de l’espace
                                   d’adressage (heap/JIT)
     processus 64 bits afin de   • Les processus doivent choisir la mise en service
     réduire la probabilité de   Randomisation haute entropie de haut en bas
     deviner une adresse         • 8 Go de variation dans la start address de haut en
                                   bas
                                 • Mis en service automatiquement si la
                                   randomisation de haut en bas est en fonction


                                 Randomisation haute entropie des images
                                 • Les images basées au-dessus de 4 Go reçoivent
                                   plus d’entropie
                                 • Toutes les images système ont été déplacées au-
                                   dessus de 4 Go
Entropie élevée pour les processus 64 bits
                                    Windows 7               Windows 8
                                  32 bits   64 bits   32 bits   64 bits   64
                                                                          (HE)




         * Les DLL 64 bits basées sous 4 Go reçoivent 14 bits, les EXE sous 4 Go
La Heap
                                        Changement avec   Impact
• Le renforcement de la Heap a été         Windows 8

  introduit et s’est révélé être
  extrêmement efficace. Quelques
  nouvelles attaques proposées
  par les chercheurs en sécurité
  mais les exploits réels ciblent les
  données applicatives sur la Heap
  et pas les métadonnées
• La conception générale de la
  Heap n’a pas changé mais
  quelques contrôles d’intégrité ont
  été introduits dans la LFH (utilise
  pour des tailles <16 KO)
La Heap
• Les pages de garde sont désormais utilisées         • L’ordre d’allocation est désormais non
  pour partitionner la Heap                             déterministe (seulement LFH)
   • Conçu pour empêcher / localiser une corruption      • Rend peu fiable les exploits s’appuyant sur la
   • Toucher une page de garde génère une                  manipulation de la Heap
     exception


                                                                     D    C

• Les points d’insertion pour les pages de
  garde sont contraints à ne concerner que des              C                      D
  grandes allocations, des segments de Heap
  et des sous-segments de la taille maximale
  pour la LFH
Le noyau
                                                                                             x86        x64   AR
                                                                                                              M
                                                                                         7     8    7     8   8
• Les vulnérabilités du Kernel ont été moins                Version de Windows
                                                                                         X     X    NX NX NX
  la cible des attaquants avec seulement
  quelques exploits ciblant le Kernel à                                                  X     X    X     X   X

  distance                                                                                     NX         NX NX

   – Mais, la cible des attaques semble être en train                                    X     X    NX NX NX
     de se diriger à nouveau vers le Kernel en                                           X     X    NX NX NX
     raison de l’utilisation des bacs à sable, si l’on                                  NX NX NX NX NX
     en juge par la compréhension de certains
                                                                                         X     NX   X     NX NX
     exploits du Kernel en local qui sont la preuve
     de certains exploits sophistiqués du Kernel à                                       X     NX   X     NX NX
     distance                                                                            X     NX   X     NX NX
• DEP est largement mis en service au sein                                               X     NX   X     NX NX
  du noyau de Windows 8 (cf. tableau ci-                                                 X     NX   X     NX NX
  joint)                                                                                 X     NX   X     NX NX
                                                         • Windows 8 introduit NonPagedPoolNx comme nouvelle
                                                           région mémoire
Le noyau
• L’ASLR Kernel a été tout d’abord introduit avec Windows         • L’exploitation en local d’une déréférencement par le Kernel
  Server 2008, avec 4 bits d’entropie pour les drivers, 5 bits      est généralement trivial
  pour NTOS/HAL                                                   • Windows 8 interdit le mappage des premiers 64 K, de telle
• L’entropie a été améliorée avec Windows 8 à travers un biais      façon que tout déréférencement NULL par le Kernel devient
  du segment de base du kernel, entropie 22 bits / 12 bits.         un déni de service et pas une mort de processus
  Randomisation des régions de boot                               • NTVDM a aussi été mis hors service pas défaut




• Nouvelles fonctionnalités de sécurité des processeurs           • L’unlinking sûr a été mis en service globalement, pas juste
  permettant d’interdire l’exécution par le superviseur de code     pour la Heap et pour la Kernel pool
  se trouvant dans les pages user                                 • Amélioration de l’entropie à travers l’amorçage du PRNG
• Requiert Intel Ivy Bridge ou ARM avec support PXN                 depuis le TPM
                                                                  • L’Object manager a été renforcé contre les débordements de
                                                                    comptes de référence
                                                                  • La divulgation d’information par le Kernel via certain appels
                                                                    systèmes a été résolue
Paramétrage par défaut
 Paramétrage par                  32 bit (x86)                    64 bit (x64)            ARM
 défaut pour Windows                                                                      Tout le code
 8                        W8 UI      IE10        Défaut   W8 UI      IE 10       Défaut
                          Apps                            Apps




 * Les images ARM PE doivent choisir DEP et ASLR, donc ASLR en mode Force n’est pas requis
Q&R



      10
       2
Windows 8 et la sécurité

Contenu connexe

En vedette

Strategie der Sparkassen-Finanzgruppe bei kontaktlosen Bezahlverfahren und im...
Strategie der Sparkassen-Finanzgruppe bei kontaktlosen Bezahlverfahren und im...Strategie der Sparkassen-Finanzgruppe bei kontaktlosen Bezahlverfahren und im...
Strategie der Sparkassen-Finanzgruppe bei kontaktlosen Bezahlverfahren und im...Connected-Blog
 
Backup und E-Mail Archivierung in der Cloud
Backup und E-Mail Archivierung in der CloudBackup und E-Mail Archivierung in der Cloud
Backup und E-Mail Archivierung in der CloudA. Baggenstos & Co. AG
 
La transformation du SI avec le Cloud Microsoft, quel sera le rôle de la DSI ...
La transformation du SI avec le Cloud Microsoft, quel sera le rôle de la DSI ...La transformation du SI avec le Cloud Microsoft, quel sera le rôle de la DSI ...
La transformation du SI avec le Cloud Microsoft, quel sera le rôle de la DSI ...Microsoft Décideurs IT
 
Automatisez rapidement vos opérations IT, on-premise ou dans le Cloud avec Az...
Automatisez rapidement vos opérations IT, on-premise ou dans le Cloud avec Az...Automatisez rapidement vos opérations IT, on-premise ou dans le Cloud avec Az...
Automatisez rapidement vos opérations IT, on-premise ou dans le Cloud avec Az...Microsoft Décideurs IT
 
Kinder in der Pflegeversicherung - Was Jugendämter wissen sollten
Kinder in der Pflegeversicherung - Was Jugendämter wissen solltenKinder in der Pflegeversicherung - Was Jugendämter wissen sollten
Kinder in der Pflegeversicherung - Was Jugendämter wissen solltenKinder Pflege Netzwerk e.V.
 
Dax mdax sdax tecdax – german stocks
Dax mdax sdax tecdax – german stocksDax mdax sdax tecdax – german stocks
Dax mdax sdax tecdax – german stocksNico Kramp
 
bwcon: Creative Financing Day - Digital Content Funding (Martina Groeschel, M...
bwcon: Creative Financing Day - Digital Content Funding (Martina Groeschel, M...bwcon: Creative Financing Day - Digital Content Funding (Martina Groeschel, M...
bwcon: Creative Financing Day - Digital Content Funding (Martina Groeschel, M...Baden-Württemberg: Connected e. V.
 
Office 365 pour l'Education : une classe virtuelle ?
Office 365 pour l'Education : une classe virtuelle ? Office 365 pour l'Education : une classe virtuelle ?
Office 365 pour l'Education : une classe virtuelle ? Microsoft Décideurs IT
 
Konzept zur Teilkapitaldeckung in der Pflegeversicherung
Konzept zur Teilkapitaldeckung in der PflegeversicherungKonzept zur Teilkapitaldeckung in der Pflegeversicherung
Konzept zur Teilkapitaldeckung in der Pflegeversicherungmattanja
 
Analysecomparerconjoncture
AnalysecomparerconjonctureAnalysecomparerconjoncture
AnalysecomparerconjonctureJoseph Nodin
 
Simplify Mobile Advertising – Mobile Werbung effektiv einsetzen
Simplify Mobile Advertising – Mobile Werbung effektiv einsetzenSimplify Mobile Advertising – Mobile Werbung effektiv einsetzen
Simplify Mobile Advertising – Mobile Werbung effektiv einsetzenConnected-Blog
 
Recursos Audiovisuales
Recursos AudiovisualesRecursos Audiovisuales
Recursos Audiovisualesflortumin2015
 
Découvrez comment l’ECM peut concrètement « BOOSTER » votre entreprise à trav...
Découvrez comment l’ECM peut concrètement « BOOSTER » votre entreprise à trav...Découvrez comment l’ECM peut concrètement « BOOSTER » votre entreprise à trav...
Découvrez comment l’ECM peut concrètement « BOOSTER » votre entreprise à trav...Microsoft Décideurs IT
 
Guide de déploiement de Windows Phone en entreprise
Guide de déploiement de Windows Phone en entrepriseGuide de déploiement de Windows Phone en entreprise
Guide de déploiement de Windows Phone en entrepriseMicrosoft Décideurs IT
 
Presentacion
PresentacionPresentacion
Presentacionfrancyamu
 
Sábados_março
Sábados_marçoSábados_março
Sábados_marçoBESttau
 

En vedette (20)

Strategie der Sparkassen-Finanzgruppe bei kontaktlosen Bezahlverfahren und im...
Strategie der Sparkassen-Finanzgruppe bei kontaktlosen Bezahlverfahren und im...Strategie der Sparkassen-Finanzgruppe bei kontaktlosen Bezahlverfahren und im...
Strategie der Sparkassen-Finanzgruppe bei kontaktlosen Bezahlverfahren und im...
 
Backup und E-Mail Archivierung in der Cloud
Backup und E-Mail Archivierung in der CloudBackup und E-Mail Archivierung in der Cloud
Backup und E-Mail Archivierung in der Cloud
 
La transformation du SI avec le Cloud Microsoft, quel sera le rôle de la DSI ...
La transformation du SI avec le Cloud Microsoft, quel sera le rôle de la DSI ...La transformation du SI avec le Cloud Microsoft, quel sera le rôle de la DSI ...
La transformation du SI avec le Cloud Microsoft, quel sera le rôle de la DSI ...
 
Automatisez rapidement vos opérations IT, on-premise ou dans le Cloud avec Az...
Automatisez rapidement vos opérations IT, on-premise ou dans le Cloud avec Az...Automatisez rapidement vos opérations IT, on-premise ou dans le Cloud avec Az...
Automatisez rapidement vos opérations IT, on-premise ou dans le Cloud avec Az...
 
Kinder in der Pflegeversicherung - Was Jugendämter wissen sollten
Kinder in der Pflegeversicherung - Was Jugendämter wissen solltenKinder in der Pflegeversicherung - Was Jugendämter wissen sollten
Kinder in der Pflegeversicherung - Was Jugendämter wissen sollten
 
Dax mdax sdax tecdax – german stocks
Dax mdax sdax tecdax – german stocksDax mdax sdax tecdax – german stocks
Dax mdax sdax tecdax – german stocks
 
bwcon: Creative Financing Day - Digital Content Funding (Martina Groeschel, M...
bwcon: Creative Financing Day - Digital Content Funding (Martina Groeschel, M...bwcon: Creative Financing Day - Digital Content Funding (Martina Groeschel, M...
bwcon: Creative Financing Day - Digital Content Funding (Martina Groeschel, M...
 
GIS Day 2015
GIS Day 2015GIS Day 2015
GIS Day 2015
 
Office 365 pour l'Education : une classe virtuelle ?
Office 365 pour l'Education : une classe virtuelle ? Office 365 pour l'Education : une classe virtuelle ?
Office 365 pour l'Education : une classe virtuelle ?
 
IT-Hauptstadt Berlin
IT-Hauptstadt BerlinIT-Hauptstadt Berlin
IT-Hauptstadt Berlin
 
Konzept zur Teilkapitaldeckung in der Pflegeversicherung
Konzept zur Teilkapitaldeckung in der PflegeversicherungKonzept zur Teilkapitaldeckung in der Pflegeversicherung
Konzept zur Teilkapitaldeckung in der Pflegeversicherung
 
Projekt Zukunft Report (1)
Projekt Zukunft Report (1)Projekt Zukunft Report (1)
Projekt Zukunft Report (1)
 
Analysecomparerconjoncture
AnalysecomparerconjonctureAnalysecomparerconjoncture
Analysecomparerconjoncture
 
Simplify Mobile Advertising – Mobile Werbung effektiv einsetzen
Simplify Mobile Advertising – Mobile Werbung effektiv einsetzenSimplify Mobile Advertising – Mobile Werbung effektiv einsetzen
Simplify Mobile Advertising – Mobile Werbung effektiv einsetzen
 
Recursos Audiovisuales
Recursos AudiovisualesRecursos Audiovisuales
Recursos Audiovisuales
 
Découvrez comment l’ECM peut concrètement « BOOSTER » votre entreprise à trav...
Découvrez comment l’ECM peut concrètement « BOOSTER » votre entreprise à trav...Découvrez comment l’ECM peut concrètement « BOOSTER » votre entreprise à trav...
Découvrez comment l’ECM peut concrètement « BOOSTER » votre entreprise à trav...
 
Guide de déploiement de Windows Phone en entreprise
Guide de déploiement de Windows Phone en entrepriseGuide de déploiement de Windows Phone en entreprise
Guide de déploiement de Windows Phone en entreprise
 
Aula 03
Aula 03Aula 03
Aula 03
 
Presentacion
PresentacionPresentacion
Presentacion
 
Sábados_março
Sábados_marçoSábados_março
Sábados_março
 

Similaire à Windows 8 et la sécurité

16. Le BIOS et ses role principales dans le fonctionnement de de l'ordinate...
16. Le BIOS   et ses role principales dans le fonctionnement de de l'ordinate...16. Le BIOS   et ses role principales dans le fonctionnement de de l'ordinate...
16. Le BIOS et ses role principales dans le fonctionnement de de l'ordinate...JustoLetontonGentil
 
16. Le BIOS et ses role principales dans le fonctionnement de de l'ordinate...
16. Le BIOS   et ses role principales dans le fonctionnement de de l'ordinate...16. Le BIOS   et ses role principales dans le fonctionnement de de l'ordinate...
16. Le BIOS et ses role principales dans le fonctionnement de de l'ordinate...JustoLetontonGentil
 
En direct du Centre d’Escalade du Support Microsoft : Comment dépanner des pr...
En direct du Centre d’Escalade du Support Microsoft : Comment dépanner des pr...En direct du Centre d’Escalade du Support Microsoft : Comment dépanner des pr...
En direct du Centre d’Escalade du Support Microsoft : Comment dépanner des pr...Microsoft Technet France
 
Windows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéWindows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéMicrosoft
 
Sujet 1 - BIOS
Sujet 1 - BIOSSujet 1 - BIOS
Sujet 1 - BIOSRMwebsite
 
Gérer le chiffrement de vos disques en entreprise avec Microsoft BitLocker Ad...
Gérer le chiffrement de vos disques en entreprise avec Microsoft BitLocker Ad...Gérer le chiffrement de vos disques en entreprise avec Microsoft BitLocker Ad...
Gérer le chiffrement de vos disques en entreprise avec Microsoft BitLocker Ad...Microsoft Technet France
 
les systèmes d'exploitation.ppt
les systèmes d'exploitation.pptles systèmes d'exploitation.ppt
les systèmes d'exploitation.pptPROFPROF11
 
Exposé sur le BIOS tout savoir sur le bios.pdf
Exposé sur le BIOS tout savoir sur le bios.pdfExposé sur le BIOS tout savoir sur le bios.pdf
Exposé sur le BIOS tout savoir sur le bios.pdfMouhamedFall30
 
Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Microsoft Technet France
 
Alphorm.com Formation Analyse de Malware 2/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 2/2 : Le guide completAlphorm.com Formation Analyse de Malware 2/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 2/2 : Le guide completAlphorm
 
Cours système d’exploitation S1 - IG IPSET.pdf
Cours système d’exploitation S1 - IG IPSET.pdfCours système d’exploitation S1 - IG IPSET.pdf
Cours système d’exploitation S1 - IG IPSET.pdfMedBechir
 
Programmation de systèmes embarqués : BeagleBone Black et Linux embarqué
Programmation de systèmes embarqués : BeagleBone Black et Linux embarquéProgrammation de systèmes embarqués : BeagleBone Black et Linux embarqué
Programmation de systèmes embarqués : BeagleBone Black et Linux embarquéECAM Brussels Engineering School
 

Similaire à Windows 8 et la sécurité (20)

16. Le BIOS et ses role principales dans le fonctionnement de de l'ordinate...
16. Le BIOS   et ses role principales dans le fonctionnement de de l'ordinate...16. Le BIOS   et ses role principales dans le fonctionnement de de l'ordinate...
16. Le BIOS et ses role principales dans le fonctionnement de de l'ordinate...
 
16. Le BIOS et ses role principales dans le fonctionnement de de l'ordinate...
16. Le BIOS   et ses role principales dans le fonctionnement de de l'ordinate...16. Le BIOS   et ses role principales dans le fonctionnement de de l'ordinate...
16. Le BIOS et ses role principales dans le fonctionnement de de l'ordinate...
 
En direct du Centre d’Escalade du Support Microsoft : Comment dépanner des pr...
En direct du Centre d’Escalade du Support Microsoft : Comment dépanner des pr...En direct du Centre d’Escalade du Support Microsoft : Comment dépanner des pr...
En direct du Centre d’Escalade du Support Microsoft : Comment dépanner des pr...
 
LPIC-1-.pptx
LPIC-1-.pptxLPIC-1-.pptx
LPIC-1-.pptx
 
Windows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéWindows Phone 8 et la sécurité
Windows Phone 8 et la sécurité
 
Windows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéWindows Phone 8 et la sécurité
Windows Phone 8 et la sécurité
 
Sujet 1 - BIOS
Sujet 1 - BIOSSujet 1 - BIOS
Sujet 1 - BIOS
 
Le bios
Le biosLe bios
Le bios
 
Déploiement de Windows 8
Déploiement de Windows 8Déploiement de Windows 8
Déploiement de Windows 8
 
Gérer le chiffrement de vos disques en entreprise avec Microsoft BitLocker Ad...
Gérer le chiffrement de vos disques en entreprise avec Microsoft BitLocker Ad...Gérer le chiffrement de vos disques en entreprise avec Microsoft BitLocker Ad...
Gérer le chiffrement de vos disques en entreprise avec Microsoft BitLocker Ad...
 
les systèmes d'exploitation.ppt
les systèmes d'exploitation.pptles systèmes d'exploitation.ppt
les systèmes d'exploitation.ppt
 
Exposé sur le BIOS tout savoir sur le bios.pdf
Exposé sur le BIOS tout savoir sur le bios.pdfExposé sur le BIOS tout savoir sur le bios.pdf
Exposé sur le BIOS tout savoir sur le bios.pdf
 
Virusdoc
VirusdocVirusdoc
Virusdoc
 
Manuel
ManuelManuel
Manuel
 
Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10
 
Nettoyer et securiser son PC
Nettoyer et securiser son PCNettoyer et securiser son PC
Nettoyer et securiser son PC
 
Alphorm.com Formation Analyse de Malware 2/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 2/2 : Le guide completAlphorm.com Formation Analyse de Malware 2/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 2/2 : Le guide complet
 
Cours système d’exploitation S1 - IG IPSET.pdf
Cours système d’exploitation S1 - IG IPSET.pdfCours système d’exploitation S1 - IG IPSET.pdf
Cours système d’exploitation S1 - IG IPSET.pdf
 
Programmation de systèmes embarqués : BeagleBone Black et Linux embarqué
Programmation de systèmes embarqués : BeagleBone Black et Linux embarquéProgrammation de systèmes embarqués : BeagleBone Black et Linux embarqué
Programmation de systèmes embarqués : BeagleBone Black et Linux embarqué
 
Les systemes-dexploitation
Les systemes-dexploitationLes systemes-dexploitation
Les systemes-dexploitation
 

Plus de Microsoft Décideurs IT

Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?Microsoft Décideurs IT
 
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?Microsoft Décideurs IT
 
Windows Server vNext- virtualisation et stockage
Windows Server vNext- virtualisation et stockageWindows Server vNext- virtualisation et stockage
Windows Server vNext- virtualisation et stockageMicrosoft Décideurs IT
 
Azure IaaS pour les IT - Demo Extravaganza
Azure IaaS pour les IT - Demo ExtravaganzaAzure IaaS pour les IT - Demo Extravaganza
Azure IaaS pour les IT - Demo ExtravaganzaMicrosoft Décideurs IT
 
Windows Server vNext- administration et réseau
Windows Server vNext- administration et réseauWindows Server vNext- administration et réseau
Windows Server vNext- administration et réseauMicrosoft Décideurs IT
 
Retour d’expérience de Sarenza sur la façon de piloter un projet Power BI
Retour d’expérience de Sarenza sur la façon de piloter un projet Power BIRetour d’expérience de Sarenza sur la façon de piloter un projet Power BI
Retour d’expérience de Sarenza sur la façon de piloter un projet Power BIMicrosoft Décideurs IT
 
Big Data et Business Intelligence de A… Azure
Big Data et Business Intelligence de A… AzureBig Data et Business Intelligence de A… Azure
Big Data et Business Intelligence de A… AzureMicrosoft Décideurs IT
 
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...Microsoft Décideurs IT
 
Architectures hybrides: Intégrer vos données métiers dans vos applications cl...
Architectures hybrides: Intégrer vos données métiers dans vos applications cl...Architectures hybrides: Intégrer vos données métiers dans vos applications cl...
Architectures hybrides: Intégrer vos données métiers dans vos applications cl...Microsoft Décideurs IT
 
Reprenez la main sur vos applications SharePoint en mesurant et en optimisant...
Reprenez la main sur vos applications SharePoint en mesurant et en optimisant...Reprenez la main sur vos applications SharePoint en mesurant et en optimisant...
Reprenez la main sur vos applications SharePoint en mesurant et en optimisant...Microsoft Décideurs IT
 
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...Microsoft Décideurs IT
 
La collaboration dans Exchange : comparaison on premises et online
La collaboration dans Exchange : comparaison on premises et onlineLa collaboration dans Exchange : comparaison on premises et online
La collaboration dans Exchange : comparaison on premises et onlineMicrosoft Décideurs IT
 
Exchange / Office 365 comment faire un déploiement hybride
Exchange / Office 365 comment faire un déploiement hybrideExchange / Office 365 comment faire un déploiement hybride
Exchange / Office 365 comment faire un déploiement hybrideMicrosoft Décideurs IT
 
Sécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentielSécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentielMicrosoft Décideurs IT
 
Cas d’étude : Comment simplifier vos backups dans le cloud grâce à VEEAM et M...
Cas d’étude : Comment simplifier vos backups dans le cloud grâce à VEEAM et M...Cas d’étude : Comment simplifier vos backups dans le cloud grâce à VEEAM et M...
Cas d’étude : Comment simplifier vos backups dans le cloud grâce à VEEAM et M...Microsoft Décideurs IT
 
Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...
Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...
Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...Microsoft Décideurs IT
 
Comment bâtir un cloud hybride en mode IaaS ou SaaS et apporter le meilleur d...
Comment bâtir un cloud hybride en mode IaaS ou SaaS et apporter le meilleur d...Comment bâtir un cloud hybride en mode IaaS ou SaaS et apporter le meilleur d...
Comment bâtir un cloud hybride en mode IaaS ou SaaS et apporter le meilleur d...Microsoft Décideurs IT
 
Migrer de 2003 à 2012 R2, adopter HyperV ou Microsoft Azure : comment réalise...
Migrer de 2003 à 2012 R2, adopter HyperV ou Microsoft Azure : comment réalise...Migrer de 2003 à 2012 R2, adopter HyperV ou Microsoft Azure : comment réalise...
Migrer de 2003 à 2012 R2, adopter HyperV ou Microsoft Azure : comment réalise...Microsoft Décideurs IT
 

Plus de Microsoft Décideurs IT (20)

Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
 
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
 
Windows Server vNext- virtualisation et stockage
Windows Server vNext- virtualisation et stockageWindows Server vNext- virtualisation et stockage
Windows Server vNext- virtualisation et stockage
 
Azure IaaS pour les IT - Demo Extravaganza
Azure IaaS pour les IT - Demo ExtravaganzaAzure IaaS pour les IT - Demo Extravaganza
Azure IaaS pour les IT - Demo Extravaganza
 
Windows Server vNext- administration et réseau
Windows Server vNext- administration et réseauWindows Server vNext- administration et réseau
Windows Server vNext- administration et réseau
 
La gouvernance des données
La gouvernance des donnéesLa gouvernance des données
La gouvernance des données
 
Retour d’expérience de Sarenza sur la façon de piloter un projet Power BI
Retour d’expérience de Sarenza sur la façon de piloter un projet Power BIRetour d’expérience de Sarenza sur la façon de piloter un projet Power BI
Retour d’expérience de Sarenza sur la façon de piloter un projet Power BI
 
Malware Unchained
Malware UnchainedMalware Unchained
Malware Unchained
 
Big Data et Business Intelligence de A… Azure
Big Data et Business Intelligence de A… AzureBig Data et Business Intelligence de A… Azure
Big Data et Business Intelligence de A… Azure
 
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
 
Architectures hybrides: Intégrer vos données métiers dans vos applications cl...
Architectures hybrides: Intégrer vos données métiers dans vos applications cl...Architectures hybrides: Intégrer vos données métiers dans vos applications cl...
Architectures hybrides: Intégrer vos données métiers dans vos applications cl...
 
Reprenez la main sur vos applications SharePoint en mesurant et en optimisant...
Reprenez la main sur vos applications SharePoint en mesurant et en optimisant...Reprenez la main sur vos applications SharePoint en mesurant et en optimisant...
Reprenez la main sur vos applications SharePoint en mesurant et en optimisant...
 
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
 
La collaboration dans Exchange : comparaison on premises et online
La collaboration dans Exchange : comparaison on premises et onlineLa collaboration dans Exchange : comparaison on premises et online
La collaboration dans Exchange : comparaison on premises et online
 
Exchange / Office 365 comment faire un déploiement hybride
Exchange / Office 365 comment faire un déploiement hybrideExchange / Office 365 comment faire un déploiement hybride
Exchange / Office 365 comment faire un déploiement hybride
 
Sécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentielSécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentiel
 
Cas d’étude : Comment simplifier vos backups dans le cloud grâce à VEEAM et M...
Cas d’étude : Comment simplifier vos backups dans le cloud grâce à VEEAM et M...Cas d’étude : Comment simplifier vos backups dans le cloud grâce à VEEAM et M...
Cas d’étude : Comment simplifier vos backups dans le cloud grâce à VEEAM et M...
 
Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...
Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...
Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...
 
Comment bâtir un cloud hybride en mode IaaS ou SaaS et apporter le meilleur d...
Comment bâtir un cloud hybride en mode IaaS ou SaaS et apporter le meilleur d...Comment bâtir un cloud hybride en mode IaaS ou SaaS et apporter le meilleur d...
Comment bâtir un cloud hybride en mode IaaS ou SaaS et apporter le meilleur d...
 
Migrer de 2003 à 2012 R2, adopter HyperV ou Microsoft Azure : comment réalise...
Migrer de 2003 à 2012 R2, adopter HyperV ou Microsoft Azure : comment réalise...Migrer de 2003 à 2012 R2, adopter HyperV ou Microsoft Azure : comment réalise...
Migrer de 2003 à 2012 R2, adopter HyperV ou Microsoft Azure : comment réalise...
 

Windows 8 et la sécurité

  • 1. Windows 8 et la Sécurité Bernard Ourghanlian CTO & CSO Microsoft France Serveurs / Entreprise / Réseaux / IT
  • 2. Avertissement • De nombreuses nouvelles fonctionnalités de sécurité de Windows 8 ne seront pas abordées ici faute de temps – merci de bien vouloir m’en excuser • Des éléments complémentaires sont présentés notamment pendant les sessions : – Le modèle de sécurité des Windows Apps (SEC313) – Mécanismes internes de la sécurité de Windows 8 (CLI301)
  • 3. Sommaire • Windows 8 : évolution de l’infrastructure en matière de sécurité • Windows 8 : contrôle d’accès dynamique et classification des données • Windows 8 : les fondamentaux 3
  • 4. EVOLUTION DE L’INFRASTRUCTURE DE SECURITE Windows 8 : évolution de l’infrastructure en matière de sécurité Windows 8 : contrôle d’accès dynamique et classification des données Windows 8 : les fondamentaux 4
  • 5. Infrastructure : nouveautés sécurité de Windows 8 Résistance contre les malwares Protéger le terminal, les données et les Protéger ressources de l’organisation en rendant le contre et gérer les menaces terminal sécurisé par défaut et moins vulnérable aux effets du malware Chiffrement omniprésent des terminaux Protéger les données Simplifier la gestion du provisionnement et de la sensibles conformité des volumes chiffrés sur un plus large ensemble de types de terminaux et de technologies de stockage Protéger Contrôle d’accès moderne pour des modes de l’accès aux ressources travail flexibles Moderniser le contrôle d’accès et la gestion des données tout en augmentant la sécurité des données au sein de l’organisation 5
  • 6. Résistance au malware : les problèmes • Un malware peut compromettre le processus de boot et l’intégrité de Windows • Un malware peut se dissimuler de Windows et des logiciels anti-malware • Un malware peut se charger avant le logiciel anti-malware et mettre ce dernier hors service • L’antivirus est toujours à la traine derrière le dernier malware 6
  • 7. Résistance au malware : boot sécurisé et évalué • Boot sécurisé – Protection de bout en bout du processus de boot • OS loader Windows • Fichiers système de Windows et pilotes de périphériques • Logiciel anti-malware – Fait en sorte d’empêcher • Le démarrage d’un système d’exploitation compromis • Un logiciel de démarrer avant Windows • Un logiciel tiers de démarrer avant l’anti-malware – Permet une remédiation automatique et l’auto-guérison
  • 8. Windows 8 tire parti des évolutions du hardware Universal Extensible Firmware Interface (UEFI) • Une évolution majeure du BIOS traditionnel • Une solution indépendante de l’architecture conçue pour tous les facteurs de forme • Fournit le support pour de nouvelles possibilités en termes de sécurité tel que le boot sécurisé Trusted Platform Module (TPM) • Un processeur de chiffrement de sécurité inviolable conçu pour effectuer des opérations de chiffrement • TPM v.Next (2.0) a été conçu pour adresser les besoins de certains pays et les préoccupations en termes de coûts • Peut être implémenté sous forme d’un composant discret ou au sein du firmware sur un SOC
  • 9. Pourquoi UEFI ? • Bénéfices clés pour la sécurité – Boot sécurisé – Support eDrive pour BitLocker – Support du déverrouillage réseau pour BitLocker – Support multicast pour WDS • Une exigence pour obtenir le logo Windows • Autres bénéfices – Support SOC (ARM et Intel) – Meilleure expérience utilisateur • Boot rapide, logo de l’OEM, pas de nécessité de flashage arrière, etc. – Support des disques système de plus de 2,2 To – Boot « sans couture » (graphique UEFI)
  • 10. Evolution du TPM • Proposition de valeur du TPM – Permet la mise en place d’une sécurité de qualité commerciale via l’isolation des clés physiques et virtuelles de l’OS – Spécification 1.2 : standard mature, des années de déploiement et de renforcement de la sécurité – Des améliorations dans le provisionnement du TPM en ont abaissé la barrière du déploiement • Evolution du standard du TCG : TPM v.Next (2.0) – Extensibilité algorithmique permettant la mise en œuvre et le déploiement dans des pays supplémentaires (remplacement des algorithmes de chiffrement) – Les scénarios de sécurité sont compatibles avec TPM 1.2 ou 2.0 • Windows 8 : Support de TPM 2.0 permettant le choix d’implémentation – TPM discret – TPM en firmware (ARM Trustzone, Intel Platform Trust Technology (PTT)) – Exigence pour le logo Windows pour AOAC (Always-On Always Connected) seulement
  • 11. Séquence de boot traditionnelle (avec injection de malware) Noyau Drivers MBR et OS Windows Démarrag tiers Login BIOS Boot Loader et e Anti- (Malware malware Windows Sector (Bootkit) Drivers ) (Rootkit) Séquence de boot Windows 8 OS Early Noyau Loader Load Drivers Login Attestatio UEFI Windows n distante Windows Anti- tiers Windows et Drivers 8 Malware
  • 12. Boot sécurisé : BIOS vs. UEFI Les processus de Tout code d’OS Démarrage de BIOS boot existants Loader l’OS • Le BIOS lance n’importe quel OS loader, même du malware • Maintenant le firmware rend obligatoire la politique de sécurité et ne lance que des OS loaders dignes de confiance • L’OS loader rend obligatoire la vérification de signature des composants chargés ultérieurement OS Loader Boot sécurisé Démarrage de UEFI 2.3.1 natif vérifié l’OS Windows 8 seulement • UEFI ne lancera qu’un OS Loader vérifié • En substance, un malware ne peut remplacer le boot loader
  • 13. Early launch anti-malware (ELAM) Processus de Tout Tout Logiciel Windows BIOS code de driver Anti- Logon boot existants Loader tiers Malware Processus de OS Drivers Windows UEFI Natif ELAM tiers Logon boot Windows 8 Loader Politique rendue obligatoire • Le boot driver Anti-Malware est signé de manière spécifique • Windows démarre le logiciel ELAM avant tout autre boot driver tiers • Le driver ELAM peut rendre obligatoire la politique, même pour des boot start drivers • Les malwares de type rootkit ne peuvent désormais plus contourner l’inspection anti-malware 13
  • 14. Boot mesuré avec attestation Processus de OS Initialisation Drivers Anti- boot BIOS Loader du Kernel tiers Malware existant TP Processus de M Initialisati OS Drivers boot UEFI on du ELAM Attestation Loader tiers Windows 8 Kernel Politique rendue obligatoire • Des clients post-boot peuvent utiliser des mesures signées par le TPM pour prouver l’état initial du système et du logiciel ELAM • Le logiciel ELAM peut invalider les déclarations sur l’état de santé du client si le client arrête de rendre obligatoire la politique de sécurité (i.e. ne fournit plus de mises à jour de signature ou exécute un logiciel inconnu)
  • 15. Sécuriser le terminal – Protéger contre les menaces Les évaluations des Politique de Boot UEFI Boot composants y Le boot compris le logiciel sécurisé évite AM sont stockés 1 les OS Loader dans le TPM malfaisants Windows TPM Politique AM 3 OS Loader Le terminal retrouve Noyau Windows et pilotes Logiciel AM les évaluations par le 4 TPM de l’état du terminal à la 2 demande Logiciel tiers La logiciel anti- malware est lancé avant tous les Service Windows Logon Terminal d’attestation logiciels tiers Revendication de la santé du terminal
  • 16. Sécuriser le terminal lors du boot : en résumé Boot Sécurisé • Evite ou détecte les tentatives de malware d’altérer le hardware d’un terminal ou son système d’exploitation • S’assure que le logiciel anti-malware est toujours dipsonible et non altéré • Détecte automatiquement et répare le système contre l’intrusion de malware sans interaction avec l’utilisateur • Fournit une protection avancée en tirant parti du hardware de sécurité et de la racine de confiance que permet ce dernier Boot évalué • Utilisé pour évaluer l’intégrité des logiciels Windows et anti-malware • Service d’attestation distant qui peut analyser les évaluations d’intégrité qui sont effectuées par le boot évalué • Aide à empêcher les systèmes compromis d’accéder aux ressources de l’entreprise • Services d’attestation distants pouvant être proposés par des tiers
  • 17. Détection intégrée de malware 1. Microsoft Defender est le composant au cœur de la défense anti-malware de Windows 8 fournissant la détection basée signature et de comportement du Protection contre Defender Offline les vulnérabilités Détection basée depuis le Cloud comportement malware à la fois de façon passive (analyse Détection de Restauration Dynamique Traduction Signature périodique) et active (surveillance de Defender / System comportement) Center Endpoint 2. En service par défaut et configuré à travers l’Action Center sur Windows 8. Si un utilisateur installe une Protection solution anti-malware tierce, alors Defender est mis Plateforme Antimalware hors service. Si la solution tierce devient inactive souvent en raison de l’expiration de l’essai), après Protections Mémoire et Processus 15 jours l’utilisateur est progressivement (ASLR, DEP, AppLocker, SmartScreen, etc.) encouragé à remédier à la situation, y compris par Plateform Windows la réactivation automatique de Defender Early Launch Antimalware e 3. Les entreprises peuvent utiliser des solutions 8 Protections de l’intégrité du Boot tierces ou System Center Endpoint Protection qui fournit le support d’une gestion basée sur des politiques et la génération de rapports consolidés. Le cœur du moteur anti-malware est le même.
  • 18. Pare-feu pour restriction de traffic entrant et sortant • Différences fonctionnelles limitées entre Windows 7 et Windows 8. Changement : – Support de IKEv2 pour le mode transport IPSec – Utilisation de cmdlets Powershell pour la configuration – Règles pour les Windows Store Apps • 3 profils clé : Domain, Public et Private. Plusieurs profils peuvent être actifs simultanément, c’est-à-dire qu’un utilisateur peut être sur un hotspot Wi-Fi (profil Public) tout en étant connecté à un VPN (profil Domain) • Points clés de configuration à noter : – Le filtrage sortant permet tous les accès par défaut – La journalisation est hors service par défaut
  • 19. Pare-feu pour restriction de trafic entrant et sortant • Windows Firewall with Advanced Security peut aussi être utilisé pour configurer comment et quand l’authentification doit survenir • Ces paramétrages sont beaucoup plus importants avec Windows 8 car ils sont essentiels pour IPSec et DirectAccess • Notez au passage, qu’ils n’autorisent ni n’interdisent une connexion – c’est le travail des règles du pare-feu Restreint en fonction de critères comme l’auth. Isolation Kerberos Auth exemption Ne requiert pas d’auth. entre les hôtes spécifiques Server-to-server Auth. requise entre les hôtes spécifiques Tunnel Force l’utilisation d’un tunnel Custom Rule Aucun des précédents
  • 20. Isoler les Windows Store Apps avec Windows Firewall with Advanced Security • Les développeurs de Windows Store Apps peuvent déclarer certaines capacités de leurs apps (capabilities) pour les classes d’accès réseau requises par l’App en question • Quand l’App est installée, des règles approximatives du pare-feu sont créées automatiquement pour permettre l’accès • Les administrateurs peuvent alors personnaliser la configuration du pare-feu pour raffiner cet accès s’ils désirent davantage de contrôle sur l’accès réseau pour l’App. Important – la capacité n’est pas contrôlée par les règles du pare- feu elles-mêmes • Les politiques de groupe peuvent configurer ces restrictions sur une base par App ou par capacité • Ces frontières réseau aident à assurer que les Apps qui ont été compromises peuvent seulement accéder les réseaux auxquels elles ont explicitement reçu l’accès . Ceci réduit de manière significative le périmètre de leur impact sur les autres Apps, l’ordinateur et le réseau. De plus, les Apps peuvent être isolées et protégées d’un accès malfaisant depuis le réseau
  • 21. Isoler les Windows Store Apps (suite) Fournis l’accès entrant et sortant aux réseaux intranet que l’utilisateur a désigné comme un réseau « home » ou « work », ou, si le réseau a un contrôleur de domaine authentifié, l’accès entrant aux ports critiques est toujours bloqué Fournit l’accès sortant à l’Internet et aux réseaux indignes de confiance (par exemple, les réseaux intranet où l’utilisateur a désigné le réseau comme « Public »). La plupart des Apps qui requièrent un accès Internet utilisent cette capacité Fourni l’accès entrant et sortant à l’Internet et aux réseaux indignes de confiance. Cette capacité est un sur-ensemble de la capacité Internet (Client). L’accès entrant aux ports critiques est toujours bloqué. Fournit une communication near-field communication (NFC) avec les terminaux qui sont en proximité de l’ordinateur. « Proximity » peut être utilisé pour envoyer des fichiers ou se connecter à une application sur un terminal
  • 22. Sécurisation des Apps • La sécurisation des Apps avec, en particulier, la notion d’AppContainer est présentée en détail dans la session SEC313
  • 23. Sécuriser les connexions – Contrôle d’accès moderne Authentification avec cartes à puce virtuelles • Manière facile à déployer et peu coûteuse de mettre en place une authentification à plusieurs facteurs • Fournit une expérience « sans couture » et toujours prête pour les utilisateurs finaux • Tire parti du hardware de sécurité qui est inclus dans de nombreux terminaux Direct Access • Toujours connecté. Si vous êtes sur Internet, vous êtes sur le réseau d’entreprise • Connectivité sécurisée de bout en bout avec chiffrement fort • Options d’authentification flexibles à un ou plusieurs facteurs • Assure la conformité de l’état de santé du poste avant l’accès au réseau d’entreprise • Fournit les correctifs quand les postes sont connectés à l’Internet • Déployé facilement et sans changement au sein de l’infrastructure réseau existante
  • 24. Contrôle d’accès moderne • Problème – L’authentification multi-facteur est difficile à mettre en œuvre en raison des défis en termes de provisionnement, du coût et du support • Besoin Windows 8 – Fournir de nouvelles formes d’authentification de telle façon que l’authentification multi-facteur puisse être plus largement adoptée
  • 25. Authentification basée sur un TPM ENTREPRISE CONSOMMATEUR • Besoins • Besoins – La machine et l’identifiant de – Une banque doit « connaitre » son client en utilisant une méthode disponible sur l’utilisateur utilisent des certificats le marché afin de remplir, par exemple, protégés par le hardware sans les exigences de la FFIEC (Federal nécessiter des périphériques Financial Institutions Examination séparés Council) - US • Scénarios clés • Scénarios clés – Authentification des utilisateurs – Certificat utilisateur lié au TPM pour les accès distants – Authentification utilisateur plus forte sans nécessiter le besoin de mots de – Signature d’email/document passe complexes ou de second facteur – Authentification forte des machines externe sur le réseau
  • 26. Nouveau mécanisme d’authentification • Le Windows Smartcard Framework a été étendu pour supporter les TPM • Permet à des terminaux que l’utilisateur utilise déjà (PC) d’être utilisés comme des cartes à puce virtuelles • Le TPM protège la carte à puce virtuelle et interdit l’export de certificat
  • 27. Cartes à puce virtuelles : une option pour une authentification à 2 facteurs • Fournit les trois fonctions les plus importantes des cartes à puce – Interdiction de l’exportation – Chiffrement isolé – Protection contre les attaques • Pas de coût en dehors du fait d’avoir un poste muni d’un TPM • Facile à utiliser, difficile à voler • Authentification à 2 facteurs
  • 28. Comparaison technique Cartes à puce Cartes à puce virtuelles (TPM) Protège les clés privées en utilisant un dispositif de Protège les clés privées en utilisant un dispositif de chiffrement intégré dans la carte à puce chiffrement intégré dans la carte à puce virtuelle Stocke les clés privées dans une zone mémoire non Stocke les clés privées sur le disque dur, en volatile de la carte, accessible uniquement depuis n’utilisant leur forme déchiffrée que sur le TPM lui- la carte même Non export garanti par le fabricant de la carte qui Non export garanti par le fabricant du TPM qui peut revendiquer l’isolation des informations peut revendiquer l’impossibilité pour un adversaire privées des accès de l’OS de répliquer ou de supprimer le TPM Les opérations de chiffrement sont effectuées et Les opérations de chiffrement sont effectuées et isolées au sein de la carte isolées au sein du chip TPM sur le poste de l’utilisateur La protection contre les attaques est fournie par la La protection contre les attaques est fournie par le carte elle-même TPM
  • 29. Comparaison fonctionnelle Carte à puce Carte à puce virtuelle (TPM) L’utilisateur doit disposer de sa carte à puce et de Les crédentités ne peuvent être exportés depuis un son lecteur pour accéder à une ressource réseau poste donné, mais elles peuvent être réémises pour le même utilisateur sur un autre poste La portabilité des crédentités est obtenue en Stocke les clés privées sur le disque dur, en insérant la carte à puce dans un lecteur sur un n’utilisant leur forme déchiffrée que sur le TPM lui- autre poste même Plusieurs utilisateurs peuvent accéder à des Plusieurs utilisateurs peuvent accéder aux ressources réseau sur la même machine en insérant ressources réseau depuis la même machine chacun chacun leur carte à puce personnelle d’entre eux se voyant doté d’une carte à puce virtuelle sur cette machine
  • 30. Comparaison en termes de sécurité Carte à puce Carte à puce virtuelle (TPM) La carte est conservée par l’utilisateur, ce qui rend La carte est stockée sur l’ordinateur de l’utilisateur les scénarios d’attaque difficiles sur le plan qui peut être laissé seul ou oublié, ce qui augmente logistique la fenêtre de risque pour une attaque La carte à puce est généralement utilisée pour un La carte à puce virtuelle est installée sur un seul scénario, ce qui peut entrainer son oubli ou sa terminal qui a d’autres utilités pour l’utilisateur perte dont la responsabilité est donc plus fortement sollicitée Si la carte est perdue ou volée, l’utilisateur ne La carte à puce virtuelle est installée sur un remarquera son absence que s’il a besoin de se terminal et est utilisée pour d’autres buts ; sa perte connecter sera donc remarquée plus rapidement
  • 31. Utilisation pour l’authentification • Authentification à deux facteurs pour l’accès distant – L’accès au domaine (comme chez Microsoft) – Très semblable à une carte à puce bien que celle-ci soit toujours insérée – on doit seulement saisir le code PIN • Authentification du client – Via SSL ou quelque chose de ressemblant – Utilisation potentielle au sein de banques, ressources de l’organisation accessibles via un navigateur, etc. • Redirection de la carte à puce virtuelle pour les connexions distantes – Utilisation d’une carte à puce virtuelle locale sur une machine distante – Les crédentités peuvent être utilisées comme si elles avaient été créées sur le PC distant
  • 32. Utilisation pour la protection • Chiffrement des mails via S/MIME – Comme les cartes conventionnelles, les cartes virtuelles détiennent des clés qui peuvent être utilisées pour le chiffrement et le déchiffrement des mails – Le chiffrement / le déchiffrement est effectué au sein du TPM, donc plus sécurisé que les autres modes de stockage de clés • BitLocker pour les volumes de données – Les clés utilisées par BitLocker peuvent être stockées sur des cartes à puce virtuelles – Donc, pour accéder au volume, ce dernier ne peut être retiré de la machine originelle et l’utilisateur doit connaitre le code PIN de la carte à puce virtuelle – A la fois le disque local et le disque portable (pour les sauvegardes) peuvent être chiffrés
  • 33. Sécuriser les ressources – Protéger les données sensiblesBitLocker to Go BitLocker et Provisionnement amélioré •Processus de paramétrage intégré du chiffrement BitLocker qui simplifie le provisionnement de postes sécurisés •Bien meilleures performances qui améliore de façon spectaculaire le temps de provisionnement d’un poste (min vs. h.) •Provisionne BitLocker sur n’importe que terminal ayant le logo Windows sans restrictions régionales Protection de volume pour l’entreprise •Options flexibles de protection de volume et amélioration de la sécurité sur les disques Windows 8 afin d’améliorer l’expérience des utilisateurs finaux •Nouvelles options de protection pour que BitLocker soit utilisé sur un ensemble plus large de clients et de serveurs Prêt pour les serveurs •Permet le chiffrement de volumes sur les SAN •Supporte la protection de volumes sur des serveurs en cluster •Supporte l’authentification multi-facteur en mode inattendu Amélioration de la performance •Amélioration de la performance système à travers l’utilisation des Self Encrypting Drives (SED) (eDrive) •Améliore de façon spectaculaire le temps pris pour chiffrer les nouveaux volumes (minutes vs. heures)
  • 34. Chiffrement omniprésent • Difficultés actuelles – Quand on provisionne un nouveau poste, le processus de chiffrement peut prendre plus d’une heure – Le chiffrement effectué en logiciel a un impact sur la performance globale du système et la durée de la batterie • Windows ne supporte pas les disques auto-chiffrants qui résolvent ce problème et sont disponibles aujourd’hui – Les PC qui sont patchés et nécessitent un redémarrage sont incapables de démarrer en mode « inattendu » quand on utilise un code PIN – Tous les PC ne sont pas équipés de TPM – Il est nécessaire de requérir le chiffrement avant de donner accès à l’email • Les exigences de Windows 8 – Un large support pour le chiffrement des disques sur toutes les architectures matérielles – Réduire le temps pour chiffrer un nouveau PC – Améliorer les performances du système et la durée de la batterie – Supporter un vaste ensemble de périphériques de stockage et de configurations (eDrives, SAN, Clusters,…) – Améliorer le processus de patching quand un 2ème facteur d’authentification peut être utilisé – Supporter à la fois les TPM discrets et ceux basés sur le firmware (UEFI)
  • 35. Amélioration du provisionnement • Support par BitLocker du Trusted Platform Module (TPM) – Support pour TPM v1.2 et v2.0 – Support pour des TPM discrets et en firmware – L’installation de Windows provisionnera un firmware basé sur le TPM pour les machines qui supportent des environnements d’exécution sécurisés (ARM TrustZone; Platform Trust Technology (PTT) Intel) • La flexibilité des options de chiffrement améliore le processus de provisionnement – Chiffrement de l’espace disque utilisé seulement ou le disque entier – Pré-provisionnement du PC avec BitLocker avant de procéder à l’installation de Windows 48
  • 36. Nouvelles options pour les protecteurs Volume de l’OS Voumes de données Volumes amovibles TPM seul Password Protector Password Protector TPM+PIN Smartcard Protector Smartcard Protector TPM+StartupKey Compte AD ou Groupe Compte AD ou Groupe TPM+PIN+StartupKey (nouveau) (nouveau) StartupKey Protector Public Key Protector (DRA – Data Public Key Protector (DRA – Data Network Protector (nouveau) Recovery Agent) Recovery Agent) Password Protector (nouveau) Public Key Protector (DRA – Data Recovery Agent) • Password Protector (volume de l’OS) – Permet l’utilisation d’un mot de passe sur le volume de l’OS. Utile pour les postes sans TPM • Network Protector – Permet à des PC connectés au réseau de l’organisation de booter sans PIN – Simplifie le processus de patch pour les serveurs et les postes, wake on LAN, facilite l’usage pour les utilisateurs finaux • Active Directory Account/Group Protector – Permet à un volume de données d’être déverrouillé quand un utilisateur ou un compte de machine accède le volume
  • 37. Nouvelles options de protecteur : Network Protector • Les possibilités et le comportement du Network Protector – Utilise en combinaison avec TPM + PIN – PIN non nécessaire si le boot a lieu quand on est connecté au réseau d’entreprise – PIN nécessaire si le boot a lieu quand on n’est pas connecté au réseau d’entreprise • Exigences – Client – TPM, UEFI 2.3.1 avec support pour DHCPv4 et DHCPv6 (exigence pour le logon Windows 8), port LAN connecté – Serveur – Windows Server 2012 avec Windows Deployment Services (WDS) • Processus de boot réseau – Le PC boote et utilise DHCP pour contacter un serveur WDS si une connexion cablée existe – Si le serveur WDS est disponible, le client requiert une clé depuis le serveur WDS ; si non un code PIN est nécessaire – Le serveur WDS valide le client et envoie une clé de déverrouillage au client à travers le réseau – Le client reçoit la clé et déverrouille le volume de l’OS Windows. Le système boote 50
  • 38. Récupération du volume client • Options de sauvegarde de la clé de recouvrement Windows 7 Windows 8 Active Directory Active Directory Clé USB Clé USB Impression Impression Data Recovery Agent Data Recovery Agent Skydrive (nouveau) • Recouvrement de volume via Skydrive • Utilisé pour des machines non jointes au domaine • Séquestre les clés pour les volumes OS, données, et amovibles • Skydrive dispose d’une interface utilisateur qui fournira l’accès aux clés de recouvrement 51
  • 39. Support des Self Encrypting Drives (eDrives) en termes de performance de BitLocker avec • Implications Windows 7 – Surcoût pendant le chiffrement, le démarrage, les opérations normales, etc. – Implications exacerbées sur des portables ou des tablettes sur batteries – Disques auto-chiffrants non supportés avec Windows 7 • Windows 8 améliore les performances de BitLocker et supporte les eDrives – Le traitement du chiffrement est déporté vers le hardware – Ceci permet de réduire l’utilisation du courant et augmente la durée des batteries – Suppression du temps initial de chiffrement des volumes. Amélioration des opérations normales – BitLocker gère les clés (AD et MBAM) – Les systèmes sans Self Encrypting Drives utilisent un chiffrement logiciel 52
  • 40. Support des Storage Area Networks (SAN) • Support par BitLocker des SAN – Support de volumes sur iSCSI et Fiber Channel – Le chiffrement d’un gros volume vide est rapide quand on utilise l’option « chiffrement de l’espace utilisé seulement » – Supporte des volumes de données sur un LUN – Le Thin Provisioning est détecté automatiquement • Exigences – Le Host Bus Adapter (HBA) doit remplir les exigences du logo Windows – Les RAID doivent remplir les exigences du logo Windows • Remarque : les fonctionnalités RAID telles que la déduplication et le déchargement de la copie ne fonctionneront pas quand un volume est protégé par BitLocker 53
  • 41. Support des clusters • BitLocker support les clusters Windows – Volumes partagés Cluster (CSV - Cluster Shared Volumes) – Volumes de basculement traditionnels • Options protecteurs – Utilisation de l’AD via Account/Group Protector – L’identité Cluster Name Object (CNO) déverrouille le volume – Le cluster déverrouille le volume quand il le monte • Exigence – Un contrôleur de domaine Windows Server 2012 54
  • 42. Besoins hardware et utilisation par les différentes fonctionnalités Fonctionnalité TPM* UEFI eDrives 1 BitLocker: chiffrement volume X X X** 2 BitLocker: déverouillage volume réseau X X 3 Boot sécurisé X 4 Boot sécurisé : ELAM X 5 Evaluation du boot X X 6 Cartes à puce virtuelles (TPM) X X 7 Stockage de certificat (basé TPM) X X 8 Provisionnement automatique du TPM X X * La fonctionnalité tire parti du TPM discret. S’il n’y en a pas, il est possible d’utiliser l’environnement d’exécution sécurisé du firmware ** Permet de bénéficier d’amélioration de performance mais ne requiert pas d’eDrive
  • 43. CONTRÔLE D’ACCÈS DYNAMIQUE ET CLASSIFICATION DES DONNÉES Windows 8 : évolution de l’infrastructure en matière de sécurité Windows 8 : contrôle d’accès dynamique et classification des données Windows 8 : les fondamentaux 56
  • 44. Protéger l’accès aux ressources Contrôle d’accès dynamique • Le contrôle d’accès s’adapte automatiquement aux changements au sein de l’environnement et réduit de façon spectaculaire le coût de gérer et de sécuriser l’accès aux ressources sur les serveurs de fichiers • L’accès aux ressources est fondés sur des étiquettes qui peuvent être ajoutées dynamiquement aux ressources en fonction de la localisation, de l’application ou être ajoutées manuellement par le possesseur du contenu • Un système de contrôle intelligent tire parti des propriétés des utilisateurs et des états du terminal pour prendre des décisions d’autorisation • Peut assurer que les ressources sont chiffrées et restent sur des systèmes et des disques (chiffrés) sécurisés • Facile à déployer et à administrer grâce à des fonctionnalités avancées de création et d’audit des contrôles d’accès
  • 45. Quelques évolutions importantes pour Windows 8 sur le sujet de l’identité • Introduction du modèle fondé sur les revendications au sein de la plateforme Windows • Introduction d’un modèle permettant de cibler les politiques d’accès et d’audit sur la base d’un étiquetage afin de conduire la mise en place d’une politique de sécurité efficace et d’implémenter ce modèle pour les fichiers • Combler le gap entre l’informatique et les propriétaires d’information en utilisant une notion d’étiquetage pour les fichiers
  • 46. Les évolutions avec Windows 8/Windows Server 2012 Placer les revendications au cœur de la plateforme d’authentification via Kerberos avec Active Directory Améliorer la plateforme d’autorisation pour les fichiers pour créer et gérer des politiques d’accès plus riches avec des revendications Améliorer la plateforme d’audit des fichiers pour mettre en place des contrôles d’audit efficaces au sein de l’organisation Projeter les revendications utilisateurs et terminaux pour une consommation par les .apps .NET Améliorer l’infrastructure de gestion de fichiers
  • 47. Les évolutions avec Windows 8/Windows Server 2012 Placer les revendications au cœur de la plateforme d’authentification via Kerberos avec Active Directory Améliorer la plateforme d’autorisation pour les fichiers pour créer et gérer des politiques d’accès plus riches avec des revendications Améliorer la plateforme d’audit des fichiers pour mettre en place des contrôles d’audit efficaces au sein de l’organisation Projeter les revendications utilisateurs et terminaux pour une consommation par les .apps .NET Améliorer l’infrastructure de gestion de fichiers
  • 48. Authentification QUOI DE NEUF • Le Contrôleur de Domaine émet des groupes et… des revendications ! – Les revendications (utilisateur et terminal) proviennent des Jeton Windows 8 attributs d’identité au sein d’AD – Identité composite – fait correspondre un utilisateur au Owner terminal qui sera autorisé comme un principal (au sens Group Kerberos) User Groups – Les revendications sont délivrées au sein d’un PAC Kerberos • Un jeton Windows a des sections Claims – Données utilisateur et terminal Device Groups – Revendications et groupes ! Claims • OID vers revendication pour les autorisations basés sur les certificats • Support pour transformation des revendications inter-forêts
  • 49. Les évolutions avec Windows 8/Windows Server 2012 Placer les revendications au cœur de la plateforme d’authentification via Kerberos avec Active Directory Améliorer la plateforme d’autorisation pour les fichiers pour créer et gérer des politiques d’accès plus riches avec des revendications Améliorer la plateforme d’audit des fichiers pour mettre en place des contrôles d’audit efficaces au sein de l’organisation Projeter les revendications utilisateurs et terminaux pour une consommation par les .apps .NET Améliorer l’infrastructure de gestion de fichiers
  • 50. Autorisation MISE A JOUR DU MODELE d’ACL Windows 7 Avec Windows 8 Exemple User.memberOf (USA-Employees) AND User.memberOf (Finance-Division) AND User.memberOf (Authorization-Project) User.Division = ‘Finance’ AND User.CostCenter = 20000 User.Division = ‘Finance’ AND Device.ITManaged = True IF (Resource.Impact = ‘HBI’) ALLOW AU Read User.EmployeeType = ‘FTE’ • Support de revendications dans les ACE gérées comme des chaînes SDDL (Security Descriptor Definition Language) • Ajouts/suppression de chaînes SDDL via des fonctions standards de manipulation de chaînes
  • 51. Politique de contrôle d’accès basée sur des expressions Active Serveur de Directory fichiers Revendications utilisateur Revendications terminal Propriétés ressources User.Department = Finance Device.Department = Finance Resource.Department = Finance User.Clearance = High Device.Managed = True Resource.Impact = High POLITIQUE D’ACCES S’applique à : @Resource.Impact == “High” Allow | Read, Write | if (@User.Clearance == “High”) AND (@Device.Managed == True)
  • 52. Autorisation AMELIORATIONS • Amélioration des API SDDL pour fonctionner avec les revendications • Application des Security Descriptors aux objets • Amélioration des API CheckAccess en mode user pour fonctionner avec les revendications • Création et distribution centrale des politiques d’accès – Politique d’accès centralisée à l’information créée dans l’AD – Politique d’accès distribuée via les politiques de groupe vers les serveurs cibles • Nouvelle IHM pour les ACL – Fournir le support des ACL avec des revendications pour les utilisateurs finaux – Peut être invoquée depuis une application custom
  • 53. Les évolutions avec Windows 8/Windows Server 2012 Placer les revendications au cœur de la plateforme d’authentification via Kerberos avec Active Directory Améliorer la plateforme d’autorisation pour les fichiers pour créer et gérer des politiques d’accès plus riches avec des revendications Améliorer la plateforme d’audit des fichiers pour mettre en place des contrôles d’audit efficaces au sein de l’organisation Projeter les revendications utilisateurs et terminaux pour une consommation par les .apps .NET Améliorer l’infrastructure de gestion de fichiers
  • 54. Audit CE QUI EST NOUVEAU • Cibler des audits sur la base d’expressions fondées sur des revendications – N’auditer que selon dont vous avez besoin ! • Ex: Auditer seulement l’accès à « mes données sensibles » par « mes sous- traitants » – Réduire le volume d’audit et simplifier l’analyse et la gestion des audits • Amélioration des métadonnées du schéma dans les événements d’audit – Permet un meilleur reporting et de meilleures corrélations • Plateforme de test – Tester les changements de politiques d’accès avec ZERO impact sur les opérations et la production – Tester les différences de captures d’événements d’audit lors des accès
  • 55. Les évolutions avec Windows 8/Windows Server 2012 Placer les revendications au cœur de la plateforme d’authentification via Kerberos avec Active Directory Améliorer la plateforme d’autorisation pour les fichiers pour créer et gérer des politiques d’accès plus riches avec des revendications Améliorer la plateforme d’audit des fichiers pour mettre en place des contrôles d’audit efficaces au sein de l’organisation Projeter les revendications utilisateurs et terminaux pour une consommation par les .apps .NET Améliorer l’infrastructure de gestion de fichiers
  • 56. AD FS 2.1 dans Windows 8/Windows Server 2012 • AD FS 2.1 est disponible en standard sous la forme d’un server role au sein de Windows Server 2012 – Le rôle existant d’ ADFS 1.x a été remplacé par le nouvel AD FS 2.1 – Le Claims Aware Web agent continuera d’être livré sous la forme d’un composant « déprécié » afin de permettre la continuité opérationnelle des applications existantes et construire sur la base de la dll de SSO d’ADFS 1.x – Ajoute le support pour permettre l’émission de revendications terminal depuis le ticket Kerberos pour des applications Claims Aware – Pas de support d’AD LDS comme un espace de stockage pour l’authentification – Pas de support pour un ‘NT token’ web agent
  • 57. Les évolutions avec Windows 8/Windows Server 2012 Placer les revendications au cœur de la plateforme d’authentification via Kerberos avec Active Directory Améliorer la plateforme d’autorisation pour les fichiers pour créer et gérer des politiques d’accès plus riches avec des revendications Améliorer la plateforme d’audit des fichiers pour mettre en place des contrôles d’audit efficaces au sein de l’organisation Projeter les revendications utilisateurs et terminaux pour une consommation par les .apps .NET Améliorer l’infrastructure de gestion de fichiers
  • 58. Infrastructure de classification de fichiers Information d’étiquetage Basé sur l’emplacement Classificateur de contenu intégré Manuel Classification automatique Plugin de classification tiers // instantiate new classification manager FsrmClassificationManager cls = new FsrmClassificationManager(); Application //get defined properties ICollection c = cls.EnumPropertyDefinitions (_FsrmEnumOptions.FsrmEnumOptions_None); Points d’intégration // inspect each property definition foreach (IFsrmPropertyDefinition p in c) { /*...*/ }
  • 59. Comment peut-on classifier l’information ? En fonction de • Basé sur le répertoire dans lequel est créée le fichier l’emplacement • Déterminé par le « responsable métier » qui définit le répertoire • Spécifié par l’utilisateur Manuel • On peut utiliser des modèles de documents pour les paramètres par défaut • Applications de création de données qui marquent les fichiers créées par les utilisateurs Classification • Classification automatique basée sur le contenu et d’autres caractéristiques automatique • Bonne solution pour classifier une grosse masse d’information déjà existante Application • Applications métier qui stockent des informations sur les serveurs de fichiers • Applications de gestion de données
  • 60. Propriétés de classification de base Domaine Propriétés Valeurs Information Privacy Personally Identifiable Information High; Moderate; Low; Public; Not PII Protected Health Information High; Moderate; Low Confidentiality High; Moderate; Low Information Security Required Clearance Restricted; Internal Use; Public SOX; PCI; HIPAA/HITECH; NIST SP 800-53; NIST SP 800-122; U.S.-EU Safe Harbor Framework; GLBA; ITAR; Compliancy PIPEDA; EU Data Protection Directive; Japanese Personal Information Privacy Act Legal Discoverability Privileged; Hold Immutable Yes/No Intellectual Property Copyright; Trade Secret; Parent Application Document; Patent Supporting Document Records Management Retention Long-term; Mid-term; Short-term; Indefinite Retention Start Date <Date Value> Impact High; Moderate; Low Organizational Department Engineering ;Legal; Human Resources … Project <Project> Personal Use Yes/No
  • 61. Infrastructure de classification de fichiers Appliquer la politique en fonction de la classification Fait correspondre le Classifier le fichier fichier à la politique Appliquer la politique Contrôle d’accès Contrôle d’audit Rétention Chiffrement RMS Points d’intégration Autres actions 84
  • 62. Contrôle d’accès dynamique en bref Identifier les Protéger les Contrôler l’accès Auditer l’accès données données Conditions d’accès Conditions d’audit Etiquetage manuel Protection RMS basées sur des basées sur des automatique des par les propriétaires expressions utilisant expressions utilisant documents Office en de contenus revendications revendications fonction des étiquettes utilisateurs et étiquettes utilisateurs et étiquettes Politiques d’accès Politiques d’audit qui Protection en quasi- Classification centrales basées sur peuvent être appliquées temps réel juste après automatique les étiquettes des sur différents serveurs que le fichiers ait été (étiquetage) de fichiers fichiers étiqueté Staging des audits pour Extensibilité pour des Remédiation en cas simuler les changements Etiquetage applicatif protecteurs différents de refus d’accès de politique dans un environnement réel de RMS Office
  • 63. LES FONDAMENTAUX Windows 8 : évolution de l’infrastructure en matière de sécurité Windows 8 : contrôle d’accès dynamique et classification des données Windows 8 : les fondamentaux 86
  • 64. Windows 8 et atténuation des exploits mémoire buffer overflow et les autres attaques mémoire • Menace : Les permettant le contrôle d’un pointeur en mémoire et l’exécution de code arbitraire • La situation pour ce qui concerne les exploits mémoire : – Seuls 6 % des systèmes ont été compromis à travers des exploits mémoire (SIR) – La plupart des exploits ciblent des applications tierces et d’anciens logiciels (XP) – La plupart des exploits échouent quad les protections mémoire sont en service – Mais les exploits de type zéro-day existent et les attaquants se focalisent vers les zones mémoire moins protégées • Windows 8 introduit au moins 20 mécanismes complémentaires de sécurisation de la mémoire qui atténuent des ensembles de vulnérabilités, cassent certaines techniques d’exploitation connues et augmentent le coût de l’exploitation de ces vulnérabilités
  • 65. Windows 8 et atténuation des exploits mémoire Windows Windows 7 Protections /GS disponible pour la compilation avec 8 Amélioration /GS, vérifications de plages, VS 2010 optimisation par scellement, virtual table guard Introduit avec Vista, les attaquants s’appuient sur les ASLR forcé, randomisation de bas en haut / haut lacunes dans ASLR en bas, entropie élevées Renforcement effectif de la Heap, nouvelles Contrôles d’intégrité, pages de garde, et techniques d’attaque randomisation de l’ordre d’allocation Exploits à distance limités, mais la plus grand partie DEP, ASLR, SMEP/PXN, protection contre de la mémoire Kernel est marquée exécutable déréférencement Null, contrôles intégrité D’avantage de sécurité par défaut mais on repose Défauts plus sévères pour les Apps, IE10, Office, sur l’usage applicatif terminaux ARM
  • 66. Génération de code : amélioration /GS • Amélioration /GS pour la protection contre les stack buffer overrun – Disponible avec Visual Studio 2010, amélioré avec VS2012 – Windows 8 construit entièrement avec l’amélioration /GS • Les heuristiques /GS protègent désormais davantage de fonctions – Tableaux ne contenant pas de pointeurs et structures C • Optimisation /GS supprime les contrôles non nécessaires • Fermeture des lacunes dans la protection – Exemples : MS04-035, MS06-054, MS07-017
  • 67. Génération de code : scellement • Si une classe est « scellée », elle ne peut pas avoir de classe dérivée. D’où il s’en suit que les appels à des méthodes virtuelles deviennent des appels directs class ClassName sealed : public Cinterface { … } • Eliminer les appels indirects réduit les surfaces d’attaques pour les exploitations : • Atténue des vulnérabilités telles que CVE-2011-1996 • A titre d’exemple, on a « dévirtualisé » 4500 appels dans mshtml.dll
  • 68. Génération de code : vérification de plages • Insertion par le compilateur d’un contrôle des limites des tableaux If (i >= ARRAYSIZE(Buffer)) { __report_rangecheckfailure(); } • Atténue complètement certaines vulnérabilités • CVE-2009-2512, CVE-2010-2555 • Limité à des scenarios spécifiques (notamment pile de taille fixe)
  • 69. Génération de code : Virtual Table Guard • Atténuation probabiliste d’une éventuelle corruption de pointeur vtable permis par une annotation de l’interface • Une entrée supplémentaire est ajoutée à la vtable, dont l’emplacement mémoire est randomisé par ASLR • Un contrôle est ajouté aux appels de la méthode virtuelle pour trouver l’entrée supplémentaire et si l’on arrive pas à la trouver, on « met à mort » le processus
  • 70. Address Space Layout Randomisation • ASLR a été introduit d’abord avec Windows Vista et a conduit à une évolution majeure dans l’approche des attaquants • Les attaquants dépendent maintenant : – D’EXE/DLL dont l’édition de lien n’a pas été faites avec /DYNAMICBASE – De l’éparpillement de l’espace d’adressage (heap/JIT) – Des régions mémoire prévisibles – Des divulgations d’information • Avec Windows 8, les processus peuvent désormais forcer les images non-ASLR à être randomisée (Force ASLR) : – Se comporte comme si la base préférée d’une image n’était pas disponible – La randomisation de bas en haut fournit l’entropie nécessaire pour ces images – Les processus peuvent choisir la mise en service de ce comportement • Dans Windows 8, un grand nombre de vecteurs de divulgation d’information ne sont plus utilisables : – ImagePointers a été supprimé de SharedUserData (une structure à la même adresse relative dans tous les processus)
  • 71. Address Space Layout Randomisation Windows 7 : • Heaps et stacks sont randomisés • PEB/TEB sont randomisés mais avec une entropie limitée • VirtualAlloc et MapViewOfFile ne sont pas randomisés • Il peut donc exister des régions mémoire prévisibles Windows 8 : • Toutes les allocations de bas en haut / de haut en bas sont randomisées • Effectué en biaisant les adresses de base des allocations • PEB/TEB reçoivent maintenant beaucoup plus d’entropie • Les 2 sont au choix (EXE marqué /DYNAMICBASE)
  • 72. Entropie élevée pour les processus 64 bits Randomisation haute entropie de bas en haut • ASLR avec Windows 8 tire • 1 To de variation dans la start address de bas en parti du grand espace haut d’adressage (8 To) des • Casse l’éparpillement traditionnel de l’espace d’adressage (heap/JIT) processus 64 bits afin de • Les processus doivent choisir la mise en service réduire la probabilité de Randomisation haute entropie de haut en bas deviner une adresse • 8 Go de variation dans la start address de haut en bas • Mis en service automatiquement si la randomisation de haut en bas est en fonction Randomisation haute entropie des images • Les images basées au-dessus de 4 Go reçoivent plus d’entropie • Toutes les images système ont été déplacées au- dessus de 4 Go
  • 73. Entropie élevée pour les processus 64 bits Windows 7 Windows 8 32 bits 64 bits 32 bits 64 bits 64 (HE) * Les DLL 64 bits basées sous 4 Go reçoivent 14 bits, les EXE sous 4 Go
  • 74. La Heap Changement avec Impact • Le renforcement de la Heap a été Windows 8 introduit et s’est révélé être extrêmement efficace. Quelques nouvelles attaques proposées par les chercheurs en sécurité mais les exploits réels ciblent les données applicatives sur la Heap et pas les métadonnées • La conception générale de la Heap n’a pas changé mais quelques contrôles d’intégrité ont été introduits dans la LFH (utilise pour des tailles <16 KO)
  • 75. La Heap • Les pages de garde sont désormais utilisées • L’ordre d’allocation est désormais non pour partitionner la Heap déterministe (seulement LFH) • Conçu pour empêcher / localiser une corruption • Rend peu fiable les exploits s’appuyant sur la • Toucher une page de garde génère une manipulation de la Heap exception D C • Les points d’insertion pour les pages de garde sont contraints à ne concerner que des C D grandes allocations, des segments de Heap et des sous-segments de la taille maximale pour la LFH
  • 76. Le noyau x86 x64 AR M 7 8 7 8 8 • Les vulnérabilités du Kernel ont été moins Version de Windows X X NX NX NX la cible des attaquants avec seulement quelques exploits ciblant le Kernel à X X X X X distance NX NX NX – Mais, la cible des attaques semble être en train X X NX NX NX de se diriger à nouveau vers le Kernel en X X NX NX NX raison de l’utilisation des bacs à sable, si l’on NX NX NX NX NX en juge par la compréhension de certains X NX X NX NX exploits du Kernel en local qui sont la preuve de certains exploits sophistiqués du Kernel à X NX X NX NX distance X NX X NX NX • DEP est largement mis en service au sein X NX X NX NX du noyau de Windows 8 (cf. tableau ci- X NX X NX NX joint) X NX X NX NX • Windows 8 introduit NonPagedPoolNx comme nouvelle région mémoire
  • 77. Le noyau • L’ASLR Kernel a été tout d’abord introduit avec Windows • L’exploitation en local d’une déréférencement par le Kernel Server 2008, avec 4 bits d’entropie pour les drivers, 5 bits est généralement trivial pour NTOS/HAL • Windows 8 interdit le mappage des premiers 64 K, de telle • L’entropie a été améliorée avec Windows 8 à travers un biais façon que tout déréférencement NULL par le Kernel devient du segment de base du kernel, entropie 22 bits / 12 bits. un déni de service et pas une mort de processus Randomisation des régions de boot • NTVDM a aussi été mis hors service pas défaut • Nouvelles fonctionnalités de sécurité des processeurs • L’unlinking sûr a été mis en service globalement, pas juste permettant d’interdire l’exécution par le superviseur de code pour la Heap et pour la Kernel pool se trouvant dans les pages user • Amélioration de l’entropie à travers l’amorçage du PRNG • Requiert Intel Ivy Bridge ou ARM avec support PXN depuis le TPM • L’Object manager a été renforcé contre les débordements de comptes de référence • La divulgation d’information par le Kernel via certain appels systèmes a été résolue
  • 78. Paramétrage par défaut Paramétrage par 32 bit (x86) 64 bit (x64) ARM défaut pour Windows Tout le code 8 W8 UI IE10 Défaut W8 UI IE 10 Défaut Apps Apps * Les images ARM PE doivent choisir DEP et ASLR, donc ASLR en mode Force n’est pas requis
  • 79. Q&R 10 2