Téléchargé 79 fois
Téléchargé parMicrosoft Technet France
Qu’est-ce qu’un poste de travail sécurisé ?
Le document traite de la sécurité des postes de travail en 2012, soulignant l'importance d'une configuration sécurisée pour réduire les risques et les coûts tout en augmentant la productivité. Il aborde divers aspects de la sécurité, y compris l'authentification, le contrôle des accès, la gestion des correctifs et la protection des données. Des mesures pratiques et des bonnes pratiques sont également proposées pour garantir la sécurité des systèmes dans un environnement de travail moderne.
Contenu connexe
Similaire à Qu’est-ce qu’un poste de travail sécurisé ?
Qu’est-ce qu’un poste de travail sécurisé ?
- 1. palais des congrès Paris 7, 8et 9 février 2012
- 3. Qu'est-ce qu'un postede travail sécurisé ? (CLI201) 09/02/2012 Arnaud JUMELET / Christophe CYGAN Consultant sécurité / Ingénieur avant-vente Microsoft France
- 4. Le PC dansl’entreprise en 2012 Fixe / Portable / Virtuel / Tablette Connecté : Wifi, 3G,... Avec du stockage local / dans le SI / dans le Nuage Avec des applications locales / distantes / virtualisées Avec des périphériques complémentaires
- 5. Les bénéfices d’unposte de travail sécurisé risques Augmentation de la Réduction des Permettre de et des coûts productivité nouveaux scénarios Réduction des coûts liés Réduction du temps Accès transparent au SI en aux vols de propriété passé à mettre à jour ou situation de mobilité avec intellectuelle et aux réparer les systèmes Direct Access. opérations urgentes lors compromis. des brèches du SI. Garantir l’accessibilité et Consommer des services Moins d’interruption de la disponibilité des hébergés dans le Cloud. services dues aux ressources critiques. attaques.
- 6.
- 7. Rapport SIR Volume11 Worldwide Threat Assessment Vulnerability trends Exploit trends Malware Regional Threat Assessment 105 countries/regions
- 8. Taux d’infection parsystème d’exploitation En ordinateurs nettoyés sur mille ordinateurs 32 64
- 9. % Des infectionsattribuées à chaque méthode de propagation. Source : MSRT 44.8% 26.0% 17.2% 3.2%4.4% Méthodes de propagation 2.4% 1.7% 0.3%
- 10.
- 11. Quelques mesures decontrôle Authentification forte Moindre privilèges Utilisateur Contrôle des applications Gestion des correctifs Configurations de sécurité Application Chiffrement des données Droits numériques Données Chiffrement du disque Système Anti-malware Gestion des correctifs Configurations de sécurité Réseau Pare-feu Contrôle de conformité Contrôle d'accès réseau
- 12. Correctifs Anti-malware Client SCCM Forefront Endpoint Protection Microsoft Update Internet Explorer 9 (SmartScreen) Système et Applications Réseau DirectAccess Security Compliance Client SCCM (DCM) Network Access Protection Données Manager AppLocker Authentification 802.1x AD RMS / EFS UAC IPSec BitLocker avec MBAM Configuration des Windows Local Firewall applications (IE et Office) BitLocker & BitLocker To Go Configuration Windows 7
- 13. Une histoire en4 actes Configurations de sécurité La gestion des droits et des privilèges Protection des données stockées
- 14. Protection de laplateforme Authentification Principe du moindre privilèg Politique de mot de passe Utilisateur Standard Forte (carte à puce, etc.) User Account Control (UAC) Protection des données Contrôle des périphériques BitLocker / MBAM Désactiver l’autorun EFS Restriction des interfaces ADRMS Configurations de sécurité Group Policy Object (GPO) Security Compliance Manager (SCM)
- 15.
- 16. Une histoire en4 actes L'authentification au niveau du réseau Protection des communications Contrôle des communications
- 17. Protection Réseau Authentification réseau 802.1x (filaire, wifi) Protection des communications IPSec Contrôle des communications Windows Local Firewall
- 18. Une histoire en4 actes Contrôle des vulnérabilités techniques Contrôles contre les codes malveillants Contrôle des applications autorisées à s’exécuter
- 19. Protection et contrôledes applications Application des correctifs : System Center Configuration Manager (SCCM) System Center Updates Publisher (SCUP) Windows Server Update Services (WSUS) Contrôle des applications : AppLocker Anti-malware (Forefront Endpoint Protection) Protection des applications : Enhanced Mitigation Experience Toolkit (EMET) Microsoft Office Isolated Conversion Environment (MOICE)
- 20.
- 21. Une histoire en4 actes Protection des informations du journal Revue des journaux d'événement Audit des mesures de sécurité
- 22. Audit et conformité Audit et conformité Evénements et traces System Center Desktop Error Monitoring (SCDEM) Auditer les configurations de sécurité Desired Configuration Management (DCM) Contrôle continu des mesures de sécurité Network Access Protection (NAP) DirectAccess Mise à jour des configurations de sécurité
- 23.
- 24. Gestion de lasécurité
- 25. System Center 2012Endpoint Protection Nouvelle generation de Forefront Endpoint Protection 2010 Infrastructure unifiée Protection Renforcée Administration Simplifiée Réduction des coûts de Protection contre les gestion de la sécurité menaces connues et L’interface commune pour la grâce à consolidation inconnues grâce aux protection et la gestion des de l’infrastructure de contrôles postes de travail et serveurs sécurité et de gestion comportementales, applicativ du parc es et réseau
- 26. Les couches deProtection intégrées Dans SCEP 2012 Protections Réactives Protections Proactives (Contre des menaces (Contre des menaces encore Dans Windows 7 connues) inconnues) Couche Analyse Comportementale Microsoft Malware Dynamic Signature Protection Center Applicative Data Execution Address Space Layer Windows Resource Applocker Protection Randomization Protection Service Dynamic Translation & Couche Antimalware Emulation Système de Fichiers Internet Explorer 8/9 BitLocker SmartScreen Couche Protection contre les vulnérabilités réseau (NIS) Résau Gestion centralisée du Firewall Windows
- 27. Nouveautés de SCEP2012 Scenarios Forefront Endpoint Protection 2010 System Center 2012 Endpoint Protection Infrastructure unifiée System Center Configuration Manager 2007 System Center 2012 Configuration Manager Consolidation installation Séparée Unifiée Déploiement des Client Processus de distribution de ConfigMgr Intégrée Mises à jour des signatures Multiples sources (WSUS, File Share, Microsoft Multiples sources avec les règles de déploiement Update) automatiques depuis la console ConfigMgr Protection Protection proactive Gestion du Firewall Windows Délégation d’administration Simplification Alertes et supervision Les alertes en temps réel Rapports Les rapports additionnels autour de la gestion des utilisateurs
- 28. Protection contre lesmenaces réseau • Inspection du traffic HTTPS • Filtrage d’URLs • Analyse Anti-Virus en bordure du réseau
- 29. Mettez toutes leschances de votre coté http://www.nsslabs.com/assets/noreg- reports/2012/Did%20Google%20pull% 20a%20fast%20one%20on%20Firefox% 20and%20Safari%20users_.pdf
- 30. Gestion des accèsréseau Réseau d’Entreprise Exchange CRM Tablettes/ Smartphones SharePoint IIS Télétravail / IBM, SAP, Oracle Cybercafé Layer3 VPN Terminal / Remote Desktop Services HTTPS (443) Internet DirectAccess Non web Partenaires / AD, ADFS, soustraitants RADIUS, LDAP…. NPS, ILM Machines gerés par l’entreprise
- 31. Gestion de lasécurité sans infrastructure En ligne Hébergé
- 32. Administrez et sécurisezles PC à distance Protection contre les logiciels malveillants Gestion des mises à jour Administration proactive des PC Assistance à distance Inventaire matériel et logiciel Règles de sécurité Solutions de mobilité Des PC sécurisés et administrés, que l’utilisateur soit au bureau ou en déplacement Les administrateurs et les partenaires peuvent également intervenir à distance
- 33.
- 34. La Solution Postede Travail Protection contre le Sécurisé de Protection L’ accès sécurisée malware l’information Protection multicouches Protection des données Accès sécurisés et contre les malwares et les critiques quelle que soient permanents menaces en provenance leur emplacement du WEB La Gestion Simplifiée Intégration avec les technologies Microsoft éprouvées
- 35. Protection système Malware Accès Chiffrement Utilisateur réseau disque standard Contrôle des applications Configuration de sécurité Pare-feu Protection lorsque le malware Anti-malware s’exécute Correctifs Protection avant que le malware ne s’exécute Contrôle de conformité Protection avant l’arrivée du malware sur le poste
- 36. Malware BitLocker IE Protected Mode 802.1x IE SmartScreen UAC Direct Access FEP DEP, ASLR, Windows WRP, MIC, KPP EMET Signature du code Firewall WSUS SCCM Protection lorsque le malware AppLocker s’exécute IPSec NAP Protection avant que le malware ne s’exécute Audit DCM Protection avant l’arrivée du malware sur le poste
- 37. Questions pour vous(et goodies ) Modifiez le titre de la démo
- 38. Bonnes pratiques Mettreen place les principes de base de la sécurité ! Correctifs de sécurité (pas uniquement Microsoft) Utilisateur non administrateur local Ne pas accéder à Internet en tant qu’administrateur! Réduction des privilèges avec UAC Augmenter l’utilisation des configurations de sécurité par GPO Utilisation du pare-feu embarqué Anti-malware Versions OS plus récentes Chiffrement des postes mobiles (BitLocker) EMET pour protection des applications « legacy » Désactiver l’autorun Gestion du changement / formation pour les administrateurs
- 39.
Notes de l'éditeur
- #13 Est-cequel’ondoitappliquertoutesces techno à l’ensemble des postes de travail ?
- #15 Qui a déjà déployé SCM ?
- #20 Qui connait EMET ?
- #25 Gestion de la sécurité: mise en pratique et le suivi d’application de vos stratégies – vos stratégies peuvent être complétés par les modèles proposés par Microsoft (Microsoft Security Compliance Manager), suivi des stratégies et de la remédiation (DCM), suivi de l’état d’application des patches de sécurité, d’état de chiffrement des disques avec Bitlocker, des mises à jour des signatures d’antivirus et des infections en cours…
- #28 Automatic deployment rules – using a rich set of criteria you can define the types of updates that you want to automatically approve and deploy within your environment. Configuration Manager will automatically check with Windows Update or Microsoft Update to see if there are any new updates that match your rule definition. This type of functionality is a great way to keep your environment up-to-date with the latest updates. It is especially important for scenarios such as definition updates, since these are released multiple times a day.Role-based administration – both Configuration Manager 2012 and Endpoint Protection 2012 now fully support role-based administration. This allows you to securely designate specific tasks to your security administrators and management administrators.Real time malware alerts – everyone that has been around for a security issue knows that time is very important. The quicker you know means the higher the chance that you can mitigate the impact of an issue. To help with this Endpoint Protection now provides real-time alerts for malware activity. This means from the console you can quickly get status from all your clients if there is a malware outbreak.Email subscriptions –now that we get the alerts to the console quickly, we also looked for ways to cut the figurative tether between you and the console. To help with this we added in email subscriptions. This means that you can subscribe to events like malware alerts and receive these alerts on your mobile device.
- #30 http://www.nsslabs.com/assets/noreg-reports/2012/Did%20Google%20pull%20a%20fast%20one%20on%20Firefox%20and%20Safari%20users_.pdf
- #31 UAG provides services to four types of audiences (from bottom up):Employees that are roamed with their laptops and need access. There are few reasons why they need UAG and not traditional VPN:Behind firewall most IPSec VPNs doesn’t work because they are UDP.Having the portal as one entry point for all corporate resources.No need to install and configure VPN client.Strong authentication (see next slides)Business partners / sub-contractors: today companies either provide them full VPN access which is almost irresponsible thing to do or just collaborate with them over e-mail. See the study in the end-point health slides for example about the risk of open the network for partners. Hostile environments like home PC, friends PC, Kiosk. “In any home where there is a teenager, the home PC is hostile environment….”Mobile devices – they are always outside the network.UAG Supports three types of applications delivery:Web / HTTP based where it acts as a reverse proxy. Among the tens of applications that are supported are:Exchange: Outlook Web Access, Outlook Anywhere (RPCoHTTP) and Exchange ActiveSync.SharePoint (all versions including 2007)Microsoft Dynamics CRM (3.0 and 4.0)Non-Microsoft applications such as IBM Lotus, IBM Domino, SAP portals, Oracle PeopleSoft, etcFor full list of applications that are supported today with IAG 2007 look here: http://technet.microsoft.com/en-us/library/cc303258.aspxTerminal Services applications that are served via Terminal Services Gateway that is embedded within UAG. UAG supports RemoteApp and RemoteDesktopNon-Web/HTTP applications by providing ad-hoc tunneling.
- #32 Administration dans le cloud pour les appareils WindowsAvantagesAucune infrastructure sur site n’estrequiseVousbénéficieztoujours des dernièresfonctionnalitésSurveillance et rapports simplifiésL’administrateurpeutgérer la sécurité et les mises à jour depuisn’importequel emplacement
- #35 Enterprise employees and partners—both within a single organization and across multiple entities—need to connect and collaborate securely from virtually any location and on any device. At the same time, they must prevent unauthorized use of confidential information wherever it resides—on servers, in documents, on portable devices, or elsewhere. Additionally, IT groups need to secure infrastructure from Web-based threats, intrusions, and attacks. Microsoft’s Secure Desktop solution provides comprehensive protection encompassing three core scenarios- Malware ProtectionProvide defense in depth security against malware and constantly evolving web based threats. This is achieved by using Microsoft technologies at the edge of the network as well as on the client itself. Information ProtectionInformation must be protected while on the desktop, as it leaves the desktop in digital form, or on external drives.Uniform and consistent policies must be established and enforced with automated tools. Secure AccessLet users securely connect to information from any device or location—This includes providing protection across multiple layers and enabling secure remote access to an increasingly distributed workforce and business ecosystem. Secure Desktop solution provides an always-on, seamless remote connection for employees while enabling a secure way for partners and customers to collaborate.While Malware Protection, Information Protection, and Secure Access are the primary tenets of a Secure Desktop, there are two foundations that help contribute to its success: Simplified management – This focuses on creating a simplified experience for managing the components within the Secure Desktop Solution. The goal is to provide a unified console for managing and securing endpoints and improving visibility for identifying and remediating potentially vulnerable endpoints. Integration with proven Microsoft technologies – Security needs to be built in (not just bolted on) to the infrastructure and work across multiple platforms and environments. It should interoperate with existing IT and security infrastructure, and it should extend its capabilities to all servers and clients on the network, whether on the local area network (LAN) or at other organizations entirely. The components in Secure Desktop solution integrate well with the other Microsoft technologies to provide benefits of using existing infrastructure and reducing overall infrastructure costs. Each aspect of the Microsoft Business Ready Security solutions is exemplified by the features and benefits of the core products and technologies in the Forefront family.
- #38 La méthode de propagation des malwares la plus répondue en 2011 ?Quel est l’outil pour la gestion centralisée deBitlocker ?Quel est le meilleur l’outil de gestion de la sécurité des postes de travail Windows ?Quel est le navigateur internet le plus sécurisé ?Citez 2 ou 3 bonnes pratique de la sécurité.