Architecture de sécurité en environnement Microsoft Windows

Architecture et sécurité en
environnement Windows
Christian Toinard
[Support très inspiré de “La sécurité sous Windows 10“ F. Elmaleh - ENI
Editions.]
[Other elements come from the Microsoft Online Documentation]
[However, the experiments come from the author work]

INSA CVL Engineering School 5th
Year of the Security Department – 4AS Option
© CHRISTIAN TOINARD Architecture et sécurité Windows - 31/01/2019 2
Introduction
La sécurité de Windows est devenue un enjeu majeur pour Microsoft. Elle
évolue constamment. Ce document n’est pas à prendre au pied de la lettre car
Microsoft améliore constamment Windows Client comme Serveur comme en
atteste Windows 10 18305 et Windows Server 2019. Je tiens à préciser que je
n’ai aucun engagement avec Microsoft ni aucune relation de subordination
ou conflit d’intérêt vis-à-vis de cette société. Ce support est construit en toute
indépendance et vise à éclairer sur les approches Windows et à présenter ses
apports. Pour cela, je suis obligé de m’affranchir des idéologies.

Rappel sur la sécurité [1]
Une affaire de compromis.
Rien n’est parfait mais les solutions impossibles à
administrer ou à vivre au quotidien sont à proscrire.

-Identifier les risques (acteurs, services, ouvertures du
système, technologies, …).
- La sécurité absolue n’existe pas : maillon faible
Sécurité en profondeur ‘’réaliste’’ (Linux maison avec Gentoo Hardened,
vieilles technologies comme VServer et du SELinux bourré de faux positifs et
de faux négatifs, … bidouille complexe qui ne réduit pas la surface d’attaque et
reste impossible à maintenir ou faire évoluer).
- La sécurité doit être effective et administrable (isolation
garantie par architecture système… Micro-noyau d’Hyper-v offrant une TCB
réduite et une isolation mémoire des composants sans administration !! Sans
concurrence actuellement…).
- La sécurité n’est pas liée à une idéologie (Microsoft versus
Linux versus OpenBSD versus le système que j’ai conçu moi même et qui est le
meilleur de tous…). Elle repose sur des fondements que l’on doit
connaître (surface d’attaque, séparation et moindre privilège, isolation, …).
- Identifier les risques résiduels (imaginer des scénarios d’attaques,
les tester, …)
- La sécurité doit passer à l’échelle via des architectures
adaptables et une sécurité administrable de façon centralisée et
uniformisée (Active Directory est incontournable… ce n’est pas qu’un
simple annuaire LDAP avec Kerberos !!).
- La réalité de terrain a souvent raison. Qui peut
aujourd’hui prétendre se passer des architectures Windows ?

La sécurité est liée à la surface d’attaque
• Plus l’on a de composants logiciels et matériels plus les possibilités de
compromission augmentent et donc plus la surface d’attaque est
importante L
• Plus l’on isole les composants, moins la surface d’attaque de chaque
composant est importante J
• Plus la base de confiance (Trusted Computation Base) qui héberge les
composants est réduite, moins la surface d’attaque est importante J
• Exemple : la surface d’attaque peut être réduite par une architecture
système qui isole les composants (architecture micro-noyau Windows
capable d’isoler la mémoire). On peut avoir des noyaux isolés, des
espaces mémoire isolés pour les mécanismes de protection. J
- Le micro-noyau d’Hyper-v offre une base de confiance (Trusted
Computation Base) réduite donc peu de surface d’attaque. J
- Les conteneurs sont isolés.
- Protection contre l’inspection mémoire (empêche les attaques pass-
the-hash, pass-the-ticket)
- On peut exécuter des composants potentiellement malveillants
(Windows Sandbox 2019 !!)
- On peut aller toujours plus loin grâce au micro-noyau
• A l’inverse : un noyau monolithique dans lequel on embarque ou au-
dessus duquel repose tous les composants de sécurité (Linux). La base de
confiance est large et la surface d’attaque étendue.
- On ne pas séparer les privilèges : le noyau a tous les privilèges. L
- Les conteneurs ne peuvent pas être isolés.
- Pas de protection contre l’inspection mémoire
(impossible d’empêcher les attaques pass-the-hash, pass-the-ticket)
- On ne peut pas faire d’isolation (Sandbox impossible). On reste dans
la bidouille par ignorance des architectures systèmes.

Exemple de comparaison
La solution Linux, avec par exemple un cloisonnement par
VServer avec SELinux, offre une grande surface d’attaque
et pas d’isolation puisque l’on a un noyau Linux complet qui
accède à toute la mémoire. L’architecture est fermée sur
Linux et peu évolutive.
Hubert Zimmerman doit se retourner dans sa tombe !!
La solution Windows repose sur un micro-noyau de taille
réduite qui isole les différents noyaux s’exécutant au-dessus.
La surface d’attaque est réduite et l’architecture est
ouverte (on fait tourner des noyaux standard Linux, BSD sur
le micro-noyau) et évolutive.
Par exemple, Microsoft propose à partir de 2019 un Windows graphique isolé
appelé ’’Sandbox’’ pour les activités graphiques à risques (navigation Web,
jeux, …).
Matériel
Noyau Linux
Composant de
cloisonnement
Cloison
1
Cloison
2
Cloison
3
Matériel
Micro-noyau Hyper-V
Partition
1
Noyau
Windows
isolé et réduit
Partition
2
Noyau
Windows
isolé
Tâches de
sécurité
Tâches de
confiance
Partition
3
Noyau
Windows
’’Sandbox’’
Tâches
malveillantes
Partition
4
Noyau
Linux
isolé
Tâches
Linux

Le but de la sécurité (confidentialité, intégrité, disponibilité)
est d’isoler les tâches et les données.
Deux méthodes :
- Une complexe : chiffrement plus contrôle d’accès. Elle
nécessite de gros effort d’administration avec une qualité
de sécurité parfois très faible (ex. SELinux et autres
contrôles d’accès statiques à grain fin).
- Une simple : isolation par défaut. C’est ce que l’on
obtient avec une architecture à base de micro-noyaux.
Les composants du système sont isolés par principe via
le micro-noyau et le matériel (ex. Hyper-V). L’effort
d’administration est quasiment nul.
Lorsque l’on n’arrive pas à mettre en œuvre une isolation par
principe d’architecture système, on met en place du
chiffrement et du contrôle d’accès.
Au final, l’isolation sépare et de minimise les privilèges de
façon automatique par construction.

Windows 10

Pourquoi Windows 10 [1]
L’architecture de Windows 10 n’a plus rien à voir avec
les versions de Windows antérieurs (XP, Vista, 7, server
2008, …).
Il y a une convergence entre Windows 10 et Windows
Server 2016/2019 du point de vue architecture.
Il faut comprendre les mécanismes de sécurité de
Windows 10 puisque ceux de Windows Server sont
identiques.
Le but d’un Windows Server est de permettre
d’administrer un parc de machine notamment Windows
10. Donc il faut comprendre les mécanismes à déployer
sur ces postes.

Pourquoi Windows 10 [2]
Caractéristiques des mécanismes de sécurité ?
- Très nombreux
- En constante évolution
- Les principaux sont :
o L’isolation par micro-noyau (même les
pilotes/drivers sont isolés)
o L’authentification des usagers et des machines
o La sécurité du démarrage (Secure Boot)
o La protection des identifiants (Credential Guard)
o La protection par signature du code (Device Guard)
o Le contrôle d’accès aux applications (AppLocker)
o Le chiffrement du système (BitLocker)
o Un pare-feu avancé basé sur une interface de
programmation (Windows Filtering Platform)
o Un anti-virus intégré (Windows Defender)
o Le contrôle des privilèges (UAC, ACL, MIC, …)
o L’isolation du navigateur (Edge)
o Le bac à sable d’une interface utilisateur (Windows
Sandbox)
o Isolation de ’’conteneurs’’ (Hyper-V containers)
o Isolation des machines virtuelles (Shielded VMs)
o Plus tous les mécanismes d’administration et de
sécurité avancée (GPO sur un domaine, Just Enough
Administration, Just-In-Time Administration,
Dynamic Access Control, Certificat server, …)

Principes de base

Ouverture de session
Winlogon.exe est le processus en charge de gérer les ouvertures et fermetures
de session, le déclenchement et l’arrêt des écrans de veille, le
verrouillage/déverrouillage de la station de travail et l’arrêt/redémarrage de la
machine.
Winlogon est également responsable de présenter la boîte de dialogue de
login/mot de passe à l’utilisateur de manière sécurisée, c’est-à-dire en
s’assurant que les entrées clavier et déplacements de la souris ne peuvent pas
être détournés par une autre application.
À cet effet, lors de son démarrage, Winlogon crée deux bureaux : un bureau de
travail pour l’utilisateur et un bureau sécurisé dans lequel les interactions qui
devront être sécurisées auront lieu. Il enregistre alors auprès du système la
séquence de touches [Ctrl][Alt][Suppr] et y enregistre une fonction de rappel.
Le système garantit qu’aucune autre application ne peut s’intercaler ou
s’enregistrer à la place de Winlogon (utilisation des appels système
RegisterHotkey et SetWindowsHook).
Lorsque cette séquence de touches est activée, Winlogon est appelé et affiche à
l’écran le bureau sécurisé. Les entrées/sorties clavier/souris sont associées à ce
bureau. Les permissions sur le bureau sécurisé font que l’accès est autorisé
seulement pour le processus Winlogon.
Aucune autre application en mode utilisateur ne pourra lire le mot de passe saisi
ou simuler ou forcer une réponse et l’activation de ce mécanisme par la
séquence de touches sécurisée SAS (Secure Access Sequence)
[Ctrl][Alt][Suppr] garantit que c’est bien Winlogon qui gère la demande.

SID [1]
Les SID (Security Identifier) sont des identifiants uniques alphanumériques
qui identifient chaque système, utilisateur ou objet (groupe) dans un réseau ou
sur un PC.
Certains SID sont identiques sur tous les systèmes, dans la base de registre les
profils utilisateurs sont identifiés par leur SID
Les SID restreints sont beaucoup utilisés dans les mécanismes de sécurité de
Windows 10.
L’accès à une ressource nécessite un jeton d’accès obtenu auprès du service
d’authentification. Ce jeton contient le SID unique de l’utilisateur ainsi que tous
les SID des groupes auquel il appartient. Il contient également la liste des
privilèges qu’il est en droit d’activer. Il peut également contenir le SID restreint.
Pour un SID restreint, l’accès en lecture seule est octroyé à la ressource quelles
que soient les ACL qui lui sont positionnées (sauf si le compte est explicitement
mentionné). C’est un moyen très efficace de donner un accès en lecture seule à
toutes les ressources d’un ordinateur, bien plus que de déployer une interdiction
d’écriture sur tous les objets du système.
Cette fonctionnalité contribue à diminuer l’exposition du système aux risques de
piratage. En effet, un service restreint piraté ne permettra pas à un hacker
d’écrire sur le système et de le modifier pour en prendre le contrôle. C’est le cas
par exemple du service pare-feu de Windows 10.

SID [2]
La commande sc qsidtype permet de visualiser le SID d’un service. L’exemple montre que le
service pare-feu (MPSSVC) est de type restreint. Il a donc, un accès en lecture seule sur le
système de fichiers.
Les permissions sur son répertoire de log sont obtenues avec la commande icalcs
c:windowssystem32LogFilesFirewall.

Contrôle d’accès obligatoire [1]
MIC (Mandatory Integrity Control) est une méthode de contrôle
d’accès obligatoire (Mandatory Access Control) issue du modèle Biba
présenté en 1977.
MIC permet de renforcer l’intégrité du système. Elle offre aussi
une confidentialité pour les données du système.
Chaque objet du système d’exploitation possède une étiquette appelée
label représentant son niveau d’intégrité.
Il existe quatre valeurs correspondant des niveaux de privilèges :
Low (bas), Medium (moyen), High (haut) et System (système).
Chaque sujet, compte utilisateur et processus, possède une étiquette
décrivant ses privilèges sur l’objet.
Si le niveau du sujet est inférieur à celui de l’objet, l’accès est
refusé.
Pour empêcher une application de modifier le système, il suffit de
positionner son niveau d’intégrité à faible. Même si un administrateur
l’exécute, elle ne peut modifier les objets du système d’exploitation.
Internet Explorer a un niveau d’intégrité faible. Ce mode de
fonctionnement est activé lorsqu’Internet Explorer s’exécute en mode
protégé et est désactivé sinon. Pour lui permettre cependant de
télécharger des fichiers, un certain nombre de répertoires ont reçu un
niveau d’intégrité faible (par exemple le répertoire temporaire
d’Internet Explorer).
Si un programme malveillant est déclenché par Internet Explorer, il ne
parviendra pas à modifier le système d’exploitation.
Il est possible de visualiser ou de modifier le niveau d’intégrité d’un
fichier ou d’un répertoire à l’aide de l’outil icacls.exe.
Pour modifier le niveau d’intégrité d’un objet, il faut disposer du droit
Lire des permissions et Changer des permissions et des privilèges
SeTakeOwnershipPrivilege ou SeRelabelPrivilege.

Le contrôle de comptes utilisateurs [1]
Le contrôle de compte d’utilisateur UAC (User Account Control) oblige les
utilisateurs, même les administrateurs, à exécuter les applications avec des
privilèges standard.
UAC protège les applications privilégiées des applications non privilégiées
en évitant que ces dernières ne puissent pas élever leurs privilèges même en
s’exécutant sous le compte Administrateur.
Un jeton d’accès contient le SID unique de l’utilisateur, la liste de tous les SIDs
de groupe auquel le compte de sécurité appartient et également la liste des
privilèges dont dispose l’utilisateur. Celui-ci caractérise un sujet.
Un objet est protégé par une liste de contrôle d’accès ACL (Access Control
List) c’est-à-dire une liste de SIDs associés à des permissions spécifiques
comme la lecture et l’écriture.
Les privilèges d’un jeton sont inactifs par défaut. Un processus doit appeler la
fonction AdjustTokenPrivileges pour activer le privilège demandé. Il existe un
ensemble de 35 privilèges https://docs.microsoft.com/fr-
fr/windows/desktop/SecAuthZ/privilege-constants.
Un privilège permet d’Agir en tant que composant du système d’exploitation
(Act as Part of the Operating System) dont le nom interne est
SeTcbPrivilege.
A quoi cela sert-il ?
UAC minimise les permissions et les privilèges d’administration et offre un
mécanisme d’élévation de privilèges.

Un administrateur possède deux jetons d’accès : un jeton d’accès complet et un jeton
d’accès filtré dont tous les SID d’administration (groupe d’administrateurs local, etc.) sont
marqués USE_FOR_DENY_ONLY (utilisés pour refuser l’accès uniquement).

Ordre d’interprétation des permissions :
• Accès refusés explicites (DENY ONLY).
• Accès autorisés explicites (ALLOW ONLY).
• Accès refusés hérités.
• Accès autorisés hérités.

Le répertoire temporaire est inaccessible à IE mais son
répertoire Low lui est accessible par héritage.
Lorsque l’on copie un fichier dans un partage qui est
positionné avec des droits hérités, les droits du fichier
copiés changent.

Groupes et SID spéciaux [1]
Des groupes génériques sont gérés automatiquement par le système en fonction du contexte
des utilisateurs qui ouvrent des sessions.

Le compte TrustedInstaller possède un SID qui commence par S-1-5-80 correspondant à
SECURITY_SERVICE_ID_BASE_RID. Il sert à exécuter le service qui installe les
composants Windows. Ce SID possède les permissions sur tous les fichiers système pour lui
permettre de mettre à jour le système d’exploitation.

WRP [1]
Windows XP et Windows 2003 propose le mécanisme de protection
de fichiers WFP (Windows File Protection). WFP remet en place une
copie d’origine d’un fichier depuis le répertoire DLLCACHE. Ce
mécanisme ne protège pas la base de registre. De plus, il ne protège
pas mais corrige et n’empêche pas la suppression du fichier d’origine.
Windows 10 offre un meilleur mécanisme appelé WRP (Windows
Resource Protection) qui protège aussi certaines parties de la base de
registre.
L’intégrité des composants est garantie par contrôle d’accès.
Seul Windows Installer (NT SERVICETrustedInstaller) permet de
mettre à jour le système (via Windows Update ou WSUS, ou
manuellement en exécutant un fichier Setup.exe ou Update.exe).
Windows Installer exécute le moteur d’installation Msiexec.exe qui
possède les permissions sur tout le système.
Ce service possède plus de permissions sur les objets protégés du
système que n’importe quel administrateur et que le système lui-
même.
TrustedInstaller possède un contrôle total sur les objets alors
qu’administrateurs et System possèdent seulement la permission RX
(lecture et exécution). Une application s’exécutant sous un compte
utilisateur ou administrateur ne peut donc pas mettre à jour un objet
protégé par WRP.

WRP [2]

PatchGuard
Une technique utilisée par les rootkits consiste à modifier les
appels système en se dissimulant : ils ne sont pas présents dans
la liste des processus, des pilotes chargés ni dans les fichiers
d’un répertoire.
Microsoft a donc implémenté une protection disponible
uniquement dans les versions 64 bits.
PatchGuard protège contre la modification du noyau. Tout
le code dans le noyau doit être signé par Microsoft.
Une vérification périodique des différentes tables et
structures est réalisée.
Si le système détecte une modification, il génère alors un
écran bleu pour interrompre immédiatement le système
d’exploitation.

Protection du démarrage
Windows 10 offre les protections de démarrage Windows 8.1.
• Secure Boot : standard lié à l’architecture UEFI qui garantit l’intégrité de l’amorçage.
• Early Launch Antimalware (ELAM) : pilote chargé en premier pour vérifier tous les
autres pilotes via un logiciel antimalware certifié comme Windows Defender (le nom
de son driver est WdBoot.sys). Ce paramètre est configurable au niveau de
Configuration ordinateur - Modèles d’administration - Système - Logiciel anti-
programme malveillant à lancement anticipé.
• Trusted Boot : vérifie l’intégrité des composants du démarrage Windows. Le
chargeur du noyau vérifie la signature numérique du noyau. Le noyau de vérifie les
autres composants s’exécutant au démarrage (pilotes de démarrage, fichiers,
composants ELAM).
• Health Attestation : nécessite une puce TPM 2.0 afin de stocker toutes les mesures
enregistrées en provenance des composants Windows et antimalwares durant le
démarrage. Une analyse forensique pourra identifier les changements survenus. La
transmettre à un serveur distant (Device Health Attestation) permet de décider si le
poste est toujours sain ou s’il comporte un élément anormal.
Secure Boot est largement amélioré lorsque l’on installe le micro-noyau d’Hyper-V. Le
micro-noyau démarre sur un amorçage intègre via la puce TPM et ne charge aucun
pilote. Les pilotes sont isolés dans un sous-système Windows spécifique. Par exemple, ils
s’installent sur un noyau Windows sécurisé lorsqu’ils sont de confiance.

DEP (Data Execution Protection)
Protection contre l’exécution de données qui permet de lutter
contre l’exploitation malveillante de débordements de
tampons (ou buffer overflows).
Il prémunit des débordements du tas via les processeurs
récents incluant des registres spéciaux appelés registres de
débogage.
Avec DEP activée, le processeur marque les pages de données
et empêche leur exécution.
Dans Windows 8 et Windows 10, le support matériel est un
prérequis.
DEP utilise le bit ’’Never eXecute’’ (NX) des processeurs
pour marquer les blocs de mémoire.
Un programme malveillant qui injecte du code dans les
données ne pourra pas l’exécuter.
Il est possible de désactiver DEP pour certaines applications.
https://techraptor.net/content/dep-enable-data-execution-prevention-via-group-
policy

Arrangement aléatoire de l’espace d’adressage
Pour rendre plus difficile le développement de code
malveillant, les bibliothèques de code système (DLL,
Dynamic Link Library) sont chargées à une adresse aléatoire.
Avec ASLR (Address Space Layout Randomization)
l’adresse de chargement des bibliothèques de code est
maintenant déterminée de façon aléatoire au démarrage
du système.
Le niveau d’entropie a significativement été amélioré
dans Windows 8 et Windows 10 .
Complique l’écriture de code malveillant qui doit déterminer
l’organisation de l’espace d’adressage.
DEP et ASLR compliquent le développement d’un
exploit.
KASLR (Kernel Address Space Layout Randomization)
rend aléatoire l’emplacement des composants du
noyau dans l’espace mémoire qui est protégé. Cela
complique les exploits au niveau du noyau.

Signature des pilotes de périphériques
Windows 10 (version 1607 ou suivantes) impose la
signature des pilotes de périphériques.
Pour s’exécuter les pilotes doivent être signés par les
éditeurs de pilotes et soumis au portail WHDC
(Windows Hardware Dev Center Dashboard).
Secure Boot soit être activé sur l’ordinateur. Les pilotes
signés avec des certificats anciens sont valables.
La désactivation de la signature n’est pas
recommandée
Il est possible de désactiver la signature obligatoire des
pilotes via
bcdedit /set nointegritychecks ON.
Au préalable il faudra désactiver le Secure Boot.

Contrôle des périphériques [1]
Windows 10 permet de configurer de façon fine le contrôle d’accès aux périphériques par
stratégies de groupe.

Contrôle des périphériques [2]

Services de sécurité

Gestion des mises à jour Windows [1]
Les mises à jour de fonctionnalité (Feature Updates) (ou builds majeures) ajoutent des
nouvelles fonctionnalités deux fois par an, avec une durée de support de 18 mois pour
chacune d’elle.
Les mises à jour qualité (Quality Updates) (ou builds mineures) apportent des correctifs de
sécurité et des corrections de bogues au moins une fois par mois, et à destination d’une build
majeure. Ce sont des mises à jour cumulatives, c’est-à-dire que l’installation de la dernière
mise à jour qualité est suffisante pour obtenir tous les correctifs déjà sortis.

Gestion des mises à jour Windows [2]

Sécurité et maintenance [1]
Un panneau Sécurité et maintenance fournit une interface centralisée pour accéder aux
mécanismes de sécurité, de mise à jour, de sauvegarde et de récupération afin de pouvoir les
configurer.
Il regroupe les composants de sécurité suivants :
• Pare-feu,
• Protection antivirus,
• Paramètres de sécurité d’Internet Explorer et Edge,
• Contrôle de compte utilisateur (UAC),
• L’option Windows SmartScreen.

Sécurité et maintenance [2]

Antivirus [1]
Windows Defender est un antivirus/antispyware activé par défaut. Il protège contre les
logiciels espions et indésirables.
Il permet de lancer une analyse manuelle du système ou de planifier des analyses pour
qu’elles s’exécutent de manière périodique. Il est basé sur des signatures et télécharge
régulièrement des mises à jour et dispose d’une heuristique pour découvrir de nouveaux
logiciels espions ou malveillants. Windows Defender s’exécute en mode passif lorsqu’un antivirus à jour
est présent, il surveille que l’antivirus tierce reste actif.
Windows Defender supporte aussi ELAM (Early Launch Malware) pour se protéger des
rootkits et pilotes malveillants lors du démarrage de Windows.
Windows Defender ATP (Advanced Threat Protection) repose sur un service dans le cloud.
Les postes Windows 10 envoient des informations à une instance privée dans le cloud de
Windows Defender ATP.
Il permet aussi de détecter des activités réseau présentant des vulnérabilités et de contrôler
les applications.
Il est précisément configurable par GPO.

Antivirus [2]

Antivirus [3]

Antivirus [4]

Antivirus [5]

Antivirus [6]

Antivirus [7]

Antivirus [8]

Antivirus [9]

Architecture de sécurité en environnement Microsoft Windows

Contenu connexe

Tendances

Similaire à Architecture de sécurité en environnement Microsoft Windows

Architecture de sécurité en environnement Microsoft Windows