contrôle de comptes utilisateurs (user account control - uac) support natif des cartes à puce...
TRANSCRIPT
Pascal SauliereConsultant Principal SécuritéMicrosoft France
Nouveautés de sécurité de Windows Vista
Cyril VoisinChef de programme SécuritéMicrosoft Francehttps://blogs.technet.com/voy
Contrôle de comptes utilisateurs (User Account Control - UAC)Support natif des cartes à puceAudit granulaire
Securité et conformité
BitLocker™ Drive EncryptionEFS avec cartes à puceClient RMS
Security Development Lifecycle (dont modélisation des menaces et revues de code)Renforcement des services WindowsSécurité du noyauMises à jourMaîtrise des périphériques
Mode protégé d’Internet ExplorerWindows DefenderNetwork Access Protection (NAP)Pare-feuRestauration
Fondamentaux
Identité & contrôle d’accès
Atténuation des menaces et des
vulnérabilités
Protection des données
Fondamentaux
Fondamentaux
Intégrité du code pour protéger les fichiers de l’OSSignature des pilotes de périphériques (obligatoire en 64 bits)Protection du noyau (mode 64 bits seulement)Amélioration du Centre de sécuritéFacilité d’obtention d’un statut sur la sécurité (agent d’analyse de la sécurité unique : Windows Update Agent)
Réduction du nombre de redémarragesApplication de mises à jour grâce à l’API Restart Manager
Démo
Durcissement des services WindowsDéfense en profondeur
Établissement d’un profil pour les services Windows indiquant les actions autorisées pour le réseau, le système de fichiers et le registre
Conçu pour bloquer les tentatives de détournement d’un service Windows pour écrire à un endroit qui ne fait pas partie du profil du service
Réduit le risque de propagation d’un logiciel malveillant
Durcissement de services
Système de fichiers
Registre
Réseau
Gouverner l’usage des périphériques
Ajouter la prise en charge de périphériques et autoriser ou interdire leur installation
Les pilotes approuvés par le service informatique peuvent être ajoutés dans le Trusted Driver Store (staging) Les Driver Store Policies (stratégies de groupe) déterminent le comportement pour les packages de pilote qui ne sont pas dans le Driver Store. Par exemple :
Pilotes qui ne sont pas aux standards de l’entreprisePilotes non signés
Atténuation des menaces et des vulnérabilités
Protection contre les logiciels malveillants et les intrusions
Internet Explorer 7
Protections contre l’ingénierie sociale
Filtre antiphishing & barre d’adresse coloréeNotification des paramètres dangereuxParamètres par défaut sécurisés pour les noms de domaine internationaux (IDN)
Protection contre les exploitations
Traitement unifié des URLAméliorations de la qualité du codeChoix explicite des ActiveX à exécuter Mode protégé
IExploreIExplore
Installation d’un contrôle ActiveX
Changement de paramètres,
Enregistrement d’une image
Con
trôle
d’i
nté
gri
té
IEU
ser
Paramètres et fichiers redirigés
Red
irecte
ur
com
pati
bilit
é
Mise en cache du contenu Web
Accès droits adminAccès droits admin
Accès droits utilisateurAccès droits utilisateur
Fichiers temporairesFichiers temporaires
HKLM
HKCR
Program Files
HKCU
Documents
Dossier de démarrage
Fichiers et paramètres de défiance
IEA
dm
in
IE7 en mode protégé (Vista uniquement)
Fonctions intégrées anti-malware
Windows DefenderFonctions intégrées de détection, nettoyage, et blocage en temps réel des spywares (dont intégration avec Internet Explorer pour fournir une analyse antispyware avant téléchargement)
9 agents de surveillanceSystème de scan rapide intelligent
Ciblé pour les consommateurs (pas de fonctions de gestion en entreprise)
La gestion en entreprise est possible avec le produit payant séparé Microsoft Client Protection
MSRT (Microsoft Malicious Software Removal Tool) intégré permet de supprimer virus, bots, et chevaux de Troie pendant une mise à jour et sur une base mensuelle
IE7 & Windows Defender
Démo
Tampon Autres vars
EB
P
EIP Arguments
void bar(char *p, int i) { int j = 0; CBidule bidule; int (*fp)(int) = &bar; char b[128]; strcpy(b,p);}
Adresse de retour de fonction
Gestionnaire d’exceptionPointeurs de fonctionMéthodes virtuelles
Déterminent le flux d’exécution
P1raté!
Buffer overflow
Si p pointe vers des données plus longues que b…
Code assembleur
Fonctionnalités techniques
Prévention de l’exécution des données (DEP) Address Space Layout Randomization (ASLR)Compilation avec Visual Studio 2005 (cf MS07-004) et /GS…
Pare-feu Windows avec fonctions avancées de sécuritéGestion combinée d’IPsec et du pare-
feuNouvelle MMC (Windows Firewall with Advanced Security)Nouvelles commandes en ligne (netsh advfirewall)
Politique de protection simplifiéeRéduit de manière spectaculaire le nombre d’exemptions IPsec nécessaires dans un déploiement de grande ampleur
Gestion à distance
Segmentation dynamique basée sur une politique
Défiance
Ordinateur non géré ou intrus
Isolation de
domaine
Contrôleur de domaine Active
Directory
X
Isolation de serveur
Serveurs avec des données
sensibles
Poste de travail RH
Ordinateur géré
X
Ordinateur géré
Serveur de ressources de
confiance
Réseau d’entreprise
Définition des frontières de l’isolation logiqueDistribution des politiques et lettres de créanceLes ordinateurs gérés peuvent communiquerBlocage des connexions entrantes depuis
des machines non géréesAccès compartimenté aux ressources sensibles
Network Access Protection
La surcouche santé des réseauxAperçu de NAP
Validation vis à vis de la politiqueDétermine si oui ou non les machines sont conformes avec la politique de sécurité de l’entreprise. Les machines conformes sont dites “saines” (ou « en bonne santé »)
Restriction réseauRestreint l’accès au réseau selon l’état de santé des machines
Mise à niveauFournit les mises à jour nécessaires pour permettre à la machine de devenir “saine”. Une fois “en bonne santé”, les restrictions réseau sont levées
Maintien de la conformitéLes changements de la politique de sécurité de l’entreprise ou de l’état de santé des machines peuvent résulter dynamiquement en des restrictions réseau
Demande d’accèsVoici mon nouvel
état de santé
NAP : principe de fonctionnement
Server RADIUS (NPS)
Client
Périphérique d’accès réseau(DHCP,
VPN,802.1X,IPsec,
passerelle TS)
Serveurs deremèdes
Puis-je avoir accès ?Voici mon « état de santé »
Ce client doit-il être restreint en fonction de sa « santé » ?
Mises à jour de politique en cours sur le serveur
RADIUS (NPS)
Vous avez un accès restreint tant que vous n’avez pas amélioré les choses
Puis-je avoir les mises à jour ?
Vous pouvez…
D’après la politique, le client n’est pas à jourMise en quarantaine du client, lui demandant de se mettre à jour
Réseau de l’entreprise
Réseau restreint
On donne accès au poste client à l’intranet
Serveurs de politique
En accord avec la politique, le client est à jour Accès accordé
Récupération : restaurer dans un état connu comme bonSauvegarde et restauration de
fichiersSauvegarde d’une image CompletePC™Restauration du systèmeVersions précédentes (clichés instantanés ou Volume Shadow Copies)
Identité et contrôle d’accès
Accès sécurisé aux informations
User Account Control (UAC)
DéfisSolution
Windows Vista
Plus facile d’être utilisateur standardPlus d’autonomie :
Fuseau horaire, gestion de l’alimentation, VPN, Wi-Fi et +Installation de périphériques approuvésCommandes administratives clairement indiquées
Meilleure compatibilité applicative
Virtualisation Fichiers et RegistreMeilleure protection pour
AdminsPar défaut, moindre privilègeDemande de consentement avant élévation
La plupart des utilisateurs utilisent tous les privilèges administrateurs de manière permanente
Risqué p/r aux logiciels malveillantsEmpêche la gestion des postes de travail pour faire respecter la politiqueCoûteux
Difficile d’être vraiment utilisateur standard
Certaines tâches ne fonctionnent pasDe nombreuses applications ne s’exécutent pas
Modèle d’élévation
Privilèges d’administrateur
Privilèges d’utilisateur standard (par défaut)
Compte administrate
ur
Compte utilisateur standard
Comment demander élévation:
Marquage applicationDétection installationCorrectif compatibilité
(shim)Assistant compatibilité
Exécuter en tant qu’administrateur
Interface utilisateur
Application non signée
Application signée
Application système
Protection des données
Protection de la propriété intellectuelle d’entreprise et des données clients
Protection de l’information
Les besoins métierLes documents doivent être protégés quel que soit l’endroit où ils voyagentLes données sur les partages doivent être chiffrées pour les protéger contre des accès non autorisésLes biens des entreprises tels que les PC portables ou les serveurs en agence doivent être protégés contre une compromission physique
Solution = RMS, EFS, BitLocker™Définition d’une politique de sécurité et obligation de respecter cette politique faite au niveau de la plateforme (inclusion du client RMS)Chiffrement des fichiers par utilisateur (nouvel EFS)Chiffrement de disque reposant sur des mécanismes matériels (Bitlocker Drive Encryption)
La valeur apportée par Bitlocker™
Améliore la sécurité du registre, des fichiers de configuration, de pagination et d’hibernationLa destruction de la clé racine permet le redéploiement du matériel existant en toute sécurité Récupération possible pour toute personne disposant d’un téléphone lui permettant d’accéder à son administrateur
Sécurité
Fac
ilité
d’u
tilis
a ti o
n
TPM Seul« Ce que c’est »Protège contre : Attaque logiciel
seulVulnérable à :
attaques matérielles (y compris des
attaques potentiellement
« faciles »)
TPM + PIN« Ce que vous
savez »Protège contre : De
nombreuses attaques hardwareVulnérable à : des
attaques pour casser le TPM
Clé Seule« Ce que vous
avez » Protège contre :
Toutes les attaques hardware
Vulnerable à : Perte de la clé
Attaque pre-OS
TPM + Clé« Deux choses
que je possède »Protège contre : De nombreuses
attaques hardware
Vulnerable à : des attaques hardware
*******
Facilité d’utilisation et sécurité : un équilibre à trouver
Architecture de Secure Startup SRTM des premiers composants de l’amorçage
Le « blob » du volume de l’OS cible est déverrouillé
Tous les « blobs » nécessaires pour l’amorçage sont
déverrouillés
Démarrage de l’OS (statique)
BootSector
BootManager
Démar-rage de
l’ OSOS Loader
BootBlock
Avant l’OS
BIOS
MBR
TPM Init
Démo Bitlocker : chiffrement de partition transparent
ExplorateurDiskscape
EFS (Encrypting File System)
Chiffre individuellement chaque fichierTransparent pour l’utilisateurProtège les fichiers de données désignés contre les attaques offlineNouveau dans Windows Vista
Support de la carte à pucePossibilité de chiffrement côté client de fichiers stockés sur un serveur de fichiers
Positionnement des différentes solutionsScénario RMS EFS BitLockerTM
Respect à distance de la politique pour documents
Protection du contenu en transit
Protection du contenu durant la collaboration
Protection locale des fichiers et dossiers sur une machine partagée par plusieurs utilisateurs
Protection des fichiers et dossiers distants
Administrateur réseau de défiance
Protection de portable
Serveur dans une filiale
Protection de fichiers et dossiers dans un contexte mono utilisateur
En résumé
Les grandes nouveautés
Renforcement des services
Windows
Sécurité du noyau
Ingénierie pour la sécurité
IE en mode protégé
Pare-feuWindows
Windows Defender
Centre de sécurité Windows
Network Access Protection (NAP)
Contrôle des comptes
d’utilisateurs (UAC)
Authentification
Autres sessionsEcrire du code sécurisé : un regard sur les bonnes pratiques d'implémentation sur VistaWindows Vista Kernel ChangesUser Account Control - Développer des applications Windows Vista dans le respect d'UACBitlocker Deep DiveNouveautés Wi-Fi avec Windows Vista
Se préparer à NAPWindows Vista : améliorations du firewall et IPsecContrôle de compte utilisateur UAC : exécuter Windows Vista dans le respect du principe de moindre privilègeProtection des données dans Windows Vista (Bitlocker, EFS, RMS)…
Liens
Guide de sécurité Windows Vista http://go.microsoft.com/?linkid=5639874http://www.microsoft.com/france/securitehttps://blogs.technet.com/voy
Références
Blog UAChttp://blogs.msdn.com/uac/Utiliser le kit de compatibilité applicative ACThttp://www.microsoft.com/technet/windowsvista/deploy/appcompat/acshims.mspx http://www.microsoft.com/technet/windowsvista/security/uacppr.mspxhttp://www.microsoft.com/technet/windowsvista/library/0d75f774-8514-4c9e-ac08-4c21f5c6c2d9.mspx
Références
Using Application Compatibility Tools for Marking Legacy Applications with Elevated Run Levels on Microsoft Windows Vista http://www.microsoft.com/technet/windowsvista/deploy/appcompat/acshims.mspx http://www.microsoft.com/technet/windowsvista/security/bitlockr.mspx http://blogs.technet.com/bitlocker
Windows Vista ?
Stacks
Network Access Protection
Network Location Awareness
High Resolution/High DPI
Windows Sideshow
Windows Vista Display Driver Model
People Near Me
Windows Defender
Power Management Live Icons
Windows SideBar
Parental Controls
Windows Feedback Services
Desktop Window Manager
Registry/File System Virtualization
Protected Mode IE
Windows Service Hardening
Sync CenterAero
Presentation Settings
Preview Pane
User Account Control
Ad-hoc Meeting Networks
Quick Search
Windows Imaging Format
Windows Resource Protection
MMC 3.0Cancelable I/O
Resource Exhaustion Diagnostics
Peer Name Resolution Protocol
Reading Pane
Windows Disk Diagnostics
Restart Manager
Transactional Registry
Single binary
Memory Diagnostics Startup Repair Toolkit
Transactional File SystemEventing and Instrumentation
WS-Management
CardSpace
SuperFetch
Segoe UI Font
Flip3D
New Explorers
Taskbar Thumbnails
IPv6
XAML
Search Folders
Ink Analysis
Split Tokens
Mandatory Integrity Control
UI Privilege Isolation
Secure Startup
Windows Filtering Platform
User Mode Driver Framework
New Open/Save Dialogs
Shell Property System
Winlogon Rearchitecture
Windows Communication Foundation
Windows Presentation Foundation
Glass
Open Package Specification
XML Paper Specification
Windows Workflow Foundation
Windows Installer 4.0
Monad
RSS Platform
Function Discovery API
Wizard Framework
Crypto Next Generation
Credential Providers
Confident | Clear | Connected
Security Development Lifecycle
Processus et standard d’entreprise pour la sécurité lors de la conception et du développementPromu en interne via des formationsVérifié par audit avant la sortie du produitLivre The Security Development Lifecycle
ConceptionDéfinir les directives d’architecture et de conception de la sécuritéDocumenter les éléments de la surface d’attaque du logicielModélisation des menaces
Standards, bonnes pratiques, et outils
Appliquer les standards de dévelop-pement et de testUtiliser les outils de sécurité (fuzzing, analyse statique,…)
Push sécuritéRevues de codeTests de sécuritéRevue des nouvelles menacesConformité avec les critères de sortie
Revue de sécurité finale
Revue indépendante conduite par l’équipe sécuritéTests de pénétrationArchivage des informations de conformité
Sortie et déploiement
Réponse sécurité
Plan et processus en placeBoucle de retour vers le processus de dévelop-pementPostmortems
Démarragedu produit
Assigner un conseiller en sécuritéIdentifier les étapes clés pour la sécuritéPlanifier l’intégration de la sécurité dans le produit
Prérequis Conception Mise en oeuvre
Vérification Sortie Réponse
Security Development Lifecycle
Restart Manager
Réduction du nombre de redémarrages (nouvelle API) liés à l’application de correctifs de sécuritéExemple : les applications Office 2007 tirent parti des API de notifications d’arrêt et de redémarrage
permet la récupération de l’état et du document après un redémarrage applicatif
ShutdownAPI
Sauvegarde du fichier de travail, des états
Fermeture de l’application
Restart API
Redémarrage de l’application
Reprend le fichier de travail, les états
IE6IE6
IE6 s’exécutant avec les droits d’administration (XP)
Installation d’un pilote, exécution de Windows Update
Modification des paramètres, télé-chargement d’une image
Mise en cache du contenu Web
Exploitation peut installer
MALWARE
Exploitation peut installer MALWARE
Accès droits adminAccès droits admin
Accès droits utilisateurAccès droits utilisateur
Fichiers temporairesFichiers temporaires
HKLM
Program Files
HKCU
Mes Documents
Dossier de démarrage
Fichiers et paramètres de défiance
Modèle d’administration pare-feu
Windows XP SP2/Windows 2003 SP1:Bloque par défaut les connexions entrantes non sollicitéesLes exceptions autorisent des ports ou des programmes, pour certaines adresses sources ou sous-réseau
Windows Vista/Windows Server “Longhorn”:Les règles de pare-feu deviennent plus intelligentes:
Spécification de groupes d’utilisateurs ou de machines Active DirectorySpécification de prérequis de sécurité comme l’authentification ou le chiffrement
Isolation de domaine et de serveur
Segmentation dynamique de
votre environnement
Windows® en des réseaux plus
sécurisés et isolés logiquement, d’après une
politique
LabosInvités non gérés
Isolation de serveur
Protéger des serveurs et des données spécifiques de grande valeur
Isolation de domaine
Protéger des machines gérées des machines non gérées ou des intrus (machines ou utilisateurs)
Fonctionnalités du pare-feu avancé
Filtrage entrant et sortant avec tables d’état pour IPv4 et IPv6
Règles par défaut configurables : Par défaut les flux entrants sont bloquésPar défaut les flux sortants sont autorisés
ICMPv4 et ICMPv6Filtrage de protocoles IP personnalisés
Règles pour les programmes en utilisant le chemin ou le nom de serviceSupport des types d’interface (RAS, LAN, Wi-Fi)Possibilité de contournement administratif du pare-feu
Ingénierie pour la sécurité
Renforcement des services
Windows
Sécurité du noyau
Processus SDL (Security Development Lifecycle ) amélioréModélisation des menaces et revues de codeCertification selon les Critères Communs (CC)
Exécute les services avec des privilèges réduitsLes services ont des profils d’activités autorisées pour le système de fichiers, le registre et le réseau (règles de pare-feu et permissions)
Rendre plus difficile le camouflage de rootkitSignature de pilotes x64
Obligatoire pour les pilotes en mode noyau
Protection contre la modification du noyau
Désactivation détour-nements sauvages du noyau par applications
Investissements
technologiques
Plateforme fondamentalement sécurisée
Tableau de bord indiquant le statut des paramètres et logiciels de sécuritéSurveille plusieurs solutions de sécurité de multiples fournisseurs et indiques celles qui sont activées et à jour
Pare-feu bidirectionnel activé par défautComposant clé pour le renforcement de serviceIntégration IPsecPeut être désactivé par un pare-feu d’une tierce partie
Détection et suppression des spywares et autres logiciels indésirablesProtection des points d’extensibilité du système d’exploitation
Protège contre les dommages occasionnés par l’installation d’un logiciel malveillantProcessus IE “enfermé’” pour protéger l’OSConçu pour la sécurité et la compatibilité
Investissements
technologiques
IE en mode protégé
Windows Defender
Pare-feuWindows
Centre de sécurité Windows
Atténuation des menaces et des vulnérabilités
Nouvelle architecture remplaçant GINAAuthentification forteSupport natif de cartes à puce intégréWindows CardSpace
Exécution en tant qu’utilisateur standard plus facileContrôle parentalMeilleure protection pour les administrateurs
Assure que seules les machines “saines” peuvent accéder aux données de l’entreprisePermet aux machines “non saines” d’être mises en conformité avant d’obtenir l’accès
Authentification
Contrôle des comptes
d’utilisateurs (UAC)
Network Access Protection (NAP)
Investissements
technologiques
Accès sécurisé
Définition et respect d’une politiqueProtège l’information où qu’elle voyageNouveau : client RMS intégré dans Windows VistaNouveau : protection de bibliothèques de docu-ments dans Sharepoint
Chiffrement de fichiers et de dossiers par utilisateurNouveau : possibilité de stocker les clés EFS dans une carte à puce avec Windows Vista
Protection des données grâce au matérielFournit un chiffrement intégral de volumeScénarios pour portables ou serveurs
Investissements
technologiques
Protection des données