2. Les nouveautés sur
Windows Seven
• Le bureau
• L'explorateur
• La recherche
• la compatibilité
• Réseau
• Sécurité
• Administration
• Internet Explorer 8
• Windows Media Player
11. Réseau
• Home Group
• Adaptation automatique
• Direct Access
• Branch Cache
12. Fournir un accès transparent et sécurisé aux
ressources de l’entreprise
13. Fonctionnement de DirectAccess
Client
conforme
Client
conforme Internet
Serveur NAP /
NPS IPv6 natif, tunnel dans IPv4,UDP, TLS, etc.
Serveur DirectAccess
Clients ont un accès sécurisé transparent avec
Utilisateur
interne IPsec
Ressources critiques (serveurs
Le trafic vers le réseau d’entreprise est routé au
dans datacenter) serveur Direct Access (Windows Server 2008 R2)
Utilisateur
interne
Infrastructure Utilisation de NAP pour le contrôle dynamique du
périmètre
14. Avantages de DirectAccess
Coût de
Transparent Sécurisé Manageable
possession
Stratégies
Internet ou réseau
d’access
d’entreprise Chiffré par défaut
Assistant de grandement
sécurisé
création de simplifiées
stratégies
Pas de
Connection Contrôle serveur
configuration
automatique par serveur
utilisateur
Clients sont
toujours
connectés au Pas de
Support de
En permanence réseau configuration
l’authentification
reconnecté d’entreprise complexe par
par smartcard
application
16. Sécurisé
• Chiffré
• Utilisation de carte à puce
• Contrôle de l’accès grâce à
l’isolation logique
– Certains serveurs et
applications à certains
utilisateurs
– Serveurs ou applications
non disponibles en accès
distant
• Peut coexister avec
d’autres stratégies d’accès
distant et de santé
17. Manageable
• Installation par
assistants
• Les machines sont en
permanence sur le
réseau d’entreprise
• Application permanente
des stratégies de groupe
• Intégration avec NAP
pour la santé
18. Coût de possession faible
• En interne ou sur Internet • Investissement matériel
– Application de la même très faible
stratégie • Complexité de
• Stratégie basée sur
l’utilisateur et sa machine et
l’infrastructure réduite
non pas sur son
emplacement géographique
– Expérience utilisateur
transparente
• Réduit la complexité pour
l’utilisateur
• Réduit les appels support
• Pas de passerelle à
personnaliser pour chaque
application
19. Prerequis
Windows 7 Windows Server 2008 R2 Modèle bout-en-bout,
groupe de serveurs exige
Joint au domaine Windows Server 2008 ou
supérieur
Modèle intranet : serveurs
peuvent être Windows
Server 2003
Adresse IPv6 (native ou de
transition)
20. Prerequis
Clients DA requêtent DNS Native IPv6 ou IPv4 (ISATAP
Fournir un access aux
sur l’interface ISATAP est utilisé par ressources IPv4
DirectAccess)
DNS doit écouter sur
interface ISATAP
Authentification double
facteur demande DFL
Windows Server 2008 R2
21. Constituants d’une configuration DA
• Console MMC DirectAccess pour créer
automatiquement la configuration cliente :
– Stratégie IPsec
• Communications avec DC/DNS
• Communications avec réseau d’entreprise
• Communications NLA
– Name Resolution Policy Table
• Redirection vers DNS d’entreprise pour suffixes DNS
d’entreprise
• Autres paramètres à spécifier si nécessaires
(Bitlocker, NAP, Parefeu, FCS, etc.)
22. Environnement de démonstration
DC01
NAP HRA
65.53.173.3 192.168.1.4
+ Adresse
192.168.1.1
ISATAP
+Adresse ISATAP
Routage IPv4 Routage IPv4
DirectAccess Utilisation de ISATAP
Utilisation de 6to4
Gateway
SERVER2
CLIENT1 192.168.1.2
65.53.173.11 65.53.173.1 + Adresse
65.53.173.2 ISATAP
192.168.1.3
+Adresse ISATAP
Corporate datacenter
23. Synthèse
A retenir
• DirectAccess permet d’activer un accès distant
transparent sécurisé, simplifier l’infrastructure,
diminuer les coûts d’infrastructure et
d’exploitation
• Premier pas vers la depérimetrisation
• Evaluez DirectAccess avec les technologies de
transition
26. Pourquoi UAC ?
• Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
• User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
27. Les types d'utilisateurs Windows
Hors service par défaut avec Vista
• L’administrateur
– Le compte nommé ‘Administrator’
• Un administrateur Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
29. Elévation de privilèges pour l'utilisateur
standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
30. Les besoins d’élévation
Ce sont les Elles permettent à
élévations UAC l’utilisateur de
Les choses qu’un réaliser des
administrateur peut opérations
faire privilégiées quand
c’est nécessaire
Les choses qu’un
utilisateur normal a
besoin de faire
Les choses qu’un
utilisateur normal
peut faire
Tout en évitant que des infections
de malwares puissent faire
des choses dangereuses avec
des privilèges administrateur
31. Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare‐feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans
consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de
la base de registre
– Changement d’une time zone
– Visualiser le paramétrage du système
33. Le contrôle des applications
AppLockerTM
Les utilisateurs peuvent installer et Eliminer les applications non
exécuter des applications non standards désirées/inconnues de son réseau
Même les utilisateurs standards peuvent Rendre obligatoire la standardisation
installer certains types de logiciels des applications au sein de l’entreprise
Les applications non autorisées peuvent : Créer et gérer facilement des règles
Introduire un malware flexibles en utilisant les politiques de
Augmenter les appels au helpdesk groupes
Réduire la productivité des utilisateurs
Saper les efforts de conformité
34. AppLocker TM
• Mise en œuvre des SRP (Software Restriction
Policies)
• Structure des règles simple : Allow, Exception et Deny
• Règles de l’éditeur
– Editeur du produit, nom, fichier et version
• Politiques multiples
– Exécutables, installeurs, scripts et DLL
• Outils et assistant de création de règle
• Mode audit seul
35. Règles de l'éditeur
• Règles fondées sur
l’application de signatures
numériques
• On peut spécifier les
attributs de l’application
• Permet aux règles de
survivre aux mises à jour
des applications
« Permettre à toutes les versions supérieures à 12 de la suite Office de
s’exécuter si elles sont signées par l’éditeur Microsoft. »
36. Structure simple des règles
• Allow
– Limite l’exécution aux
applications « bonnes et
connues » et bloque tout le
reste
• Deny
– Dénie l’exécution des
« mauvaises et connues » et
permet l’exécution de tout le
reste
• Exception
– Exclut les fichiers des règles
allow/deny qui seraient
normalement inclus
« Permettre à toutes les versions supérieures à 12 de la suite Office de
s’exécuter si elles sont signées par l’éditeur Microsoft EXCEPTE
Microsoft Access. »
37. Ciblage des règles par utilisateur
• Les règles peuvent être
associées à n’importe quel
utilisateur ou groupe
• Fournit un contrôle
granulaire d’applications
spécifiques
• Supporte la conformité en
rendant obligatoire qui peut
exécuter des applications
spécifiques
« Permettre aux utilisateurs du département Finance d’exécuter… »
38. Ensembles multiples de règles
• Types de règles
– Executable
– Installer
– Script
– DLL
• Permet la construction de
règles au‐delà des solutions
simplement exécutables
• Fournit une meilleure
flexibilité et une meilleure
protection
« Permettre aux utilisateurs d’installer les mises à jour d’Office tant
qu’elles sont signées par Microsoft et que c’est pour les versions 12.* »
40. Administration
• Pare feu
• Panneau d'administration
• Action center
• Installation Sauvegarde Restoration
41. Introduction au pare‐feu Windows
Panneau de contrôle du pare‐feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare‐feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
42. Résumé
• Vista : Un seul profil de pare‐feu actif
– Règles obligatoires en fonction de l’emplacement
réseau le plus restrictif
– Contournement administrateur encombrant pour
les scénarios VPN
• Windows 7 : Plusieurs profils de pare‐feu actifs
– Règles obligatoires en fonction des emplacements
réseau respectifs
– Résout les difficultés de déploiement lors de
scénario VPN
44. Internet Explorer 8
• La navigation privée
• Le filtre SmartScreen
• La récupération automatique d'après crash
• Les accélérateurs
• Le regroupement des onglets
• Les Web Slices
• La recherche suggestive
