séminaire windows seven mardi 16 juin 2009 diagora toulouse frédéric agnes christopher maneu
TRANSCRIPT
![Page 1: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/1.jpg)
Séminaire Windows Seven
Mardi 16 Juin 2009Diagora
Toulouse
Frédéric AGNES Christopher MANEU
![Page 2: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/2.jpg)
Fondamentaux de la Sécurité
• Nouveautés Sécurité Vista• UAC• Audit Renforcé• Pare-Feu
![Page 3: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/3.jpg)
Reprise des Fonctionnalités de Sécurité de Windows Vista
• Code Sécurisé dès la conception• Protection du Système• UAC – User Account Control
Fondations Windows Vista
![Page 4: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/4.jpg)
Apport de Windows 7
• UAC optimisé• Audit Amélioré
User Account Control Amélioration de l’auditing
![Page 5: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/5.jpg)
Pourquoi UAC ?
• Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !• User Account Control
– Introduit avec Windows Vista– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire son chemin…
![Page 6: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/6.jpg)
Un changement de paradigme pour Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement depuis le commencement– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root– Le système encourage à cela ; si vous lisez un mail comme root, vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations privilégiées pour un oui ou pour un non, par exemple modifier les clés de la base de registre de l’OS
![Page 7: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/7.jpg)
Hors service par défaut avec Vista
Le plus sécurisé – Meilleur choix IT
Nouveau avec Vista – Le défaut
Le défaut pour XP
Les types d'utilisateurs Windows
• L’administrateur
– Le compte nommé ‘Administrateur’
• Un administrateur
– Votre nom avec des privilèges d’administration
• Administrateur protégé
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
– Votre nom sans privilèges admin
![Page 8: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/8.jpg)
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges administrateur
• Demande de consentement pour élever les privilèges– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges d’administration
![Page 9: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/9.jpg)
Elévation de privilèges pour l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation• Vous demande un mode passe pour un compte
administrateur– OTS présuppose qu’une autre
personne détient le mot de passe administrateur
– Mot de passe requis – l’utilisateur standard ne dispose pas d’un jeton administrateur au sein de son processus
![Page 10: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/10.jpg)
Que sont ces élévations ?
• Certaines sont nécessaires– Installer ou désinstaller du logiciel– Changer le paramétrage du pare-feu– Changer l’heure et la date du système– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires– Utilisation par les applications de clés inappropriées de la base de
registre– Changement d’une time zone– Visualiser le paramétrage du système
![Page 11: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/11.jpg)
La fatigue induite par des consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de consentement UAC
• Que veut dire « trop nombreux » ?– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos ? »
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela soit vraiment nécessaire
![Page 12: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/12.jpg)
Amélioration des applications au cours du temps
![Page 13: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/13.jpg)
Windows Vista Windows 7Le système fonctionne pour un utilisateur standardTous les utilisateurs, y compris les administrateurs protégés tournent sans privilèges d’administration par défautLes administrateurs utilisent les pleins privilèges uniquement pour les taches administratives ou les applications qui en ont besoin
DéfisL’utilisateur doit fournir un consentement explicite avant d’élever ses privilègesMettre hors service UAC supprime les protections, pas seulement la demande de consentement
UAC Windows 7
Rationalise UACRéduit le nombre d’applications de l’OS et de tâches qui requièrent une élévationRefactorise les applications en éléments nécessitant une élévation/ne le nécessitant pasComportement flexible de la demande de consentement pour les administrateurs
Apport pour les utilisateurs Les utilisateurs peuvent faire davantage de choses comme un utilisateur standardLes administrateurs verront moins de demandes de consentement d’élévation par UAC
![Page 14: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/14.jpg)
Les niveaux possibles de confirmation d’UAC
• High (Le plus sécurisé)– Demande confirmation pour toutes les actions d’élévation
• Medium High– Demande confirmation pour toutes les actions d’élévation– Le bureau sécurisé est mis hors service
• Medium– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)– UAC s’exécute en mode silencieux (la politique existe avec Vista)– Ne demande confirmation que pour les binaires bloqués– Ceci laisse le mode protégé d’IE en service
![Page 15: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/15.jpg)
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
![Page 16: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/16.jpg)
DEMONSTRATION
![Page 17: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/17.jpg)
UAC et version bêta de Windows 7
• A partir de la RC– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner – Le changement du niveau d’UAC nécessitera un consentement explicite
![Page 18: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/18.jpg)
Audit
Configuration simplifiée pour un TCO plus basPossibilité de démontrer pourquoi une personne a eu accès à une information spécifiquePossibilité de comprendre pourquoi une personne s’est vue refuser l’accès à une information spécifiquePossibilité de tracer tous les changements effectués par des personnes spécifiques ou des groupes
Amélioration de l’auditing
La configuration d’un auditing granulaire est complexeAuditer l’accès et les privilèges pour un groupe d’utilisateurs est problématique
Les défis
Nouveaux événements basés XMLSupport d’un auditing à grain fin des l’utilisation des privilèges d’administrationFiltrage simplifié du « bruit » pour trouver l’événement que l’on rechercheLiaison des tâches avec les événements
Windows Vista Windows 7
![Page 19: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/19.jpg)
Les principales raisons pour auditer
• Conformité réglementaire– SOX : protéger les données financières– HIPAA : protéger les données patients/médicales– PCI : protéger les cartes de crédit/les données des clients– …
• Surveillance de la sécurité– Activité système, utilisateur et données
• Investigations/Analyses légales– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
![Page 20: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/20.jpg)
Politique d'audit• Pourquoi a-t-on besoin d’une politique d’audit ?– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?– Coûteux : Générer, collecter et stocker les événements– Utilisation de ressources : CPU, disque, etc.
Architectes sécurité
Conformité
Métiers
Besoins légaux
RH
…
Besoins
Administrateur
Budget
Opérations
Politique d’audit
![Page 21: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/21.jpg)
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003– 9 catégories d’audit
ProblèmesTaille limitée du journal d’événement (300 MO)Faible granularité
Les événements de faible et de grand volume appartiennent à la même catégorie
![Page 22: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/22.jpg)
Politique d'audit Windows Vista
Windows 2003Windows Vista
• Taille configurable du journal d’événement• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
![Page 23: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/23.jpg)
Les limites de la politique d'audit avec Windows Vista
–PAG non intégré avec les politiques de groupe• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account management" /success:enable /failure:enable...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
L’administrateur crée un fichier de politique
La politique est appliquée pendant le logon
![Page 24: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/24.jpg)
Politique d'audit avec Windows 7Intégration de PAG avec les PG
• Création des politiques de groupe granulaires– Expérience de la console d’administration des politiques des groupes– Modélisation
• Déploiement– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU• Rapports pour conformité et diagnostics• Gestion centralisée
![Page 25: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/25.jpg)
Les données d'audit avec Windows Vista
WinWord
Noyau
NTFS
Ouvrir Document
Ouvrir fichier
Access Control
SecurityDescriptor
Audit Module
Journal événements de sécurité
Contexte utilisateur et objet
DACL
SACL
Politique d’audit
![Page 26: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/26.jpg)
Activités relatives aux données d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a la bonne SACL
• On peut utiliser des modèles de sécurité mais :– La propagation est coûteuse– L’unité maximale de configuration est un disque ou une ruche de la base de
registre– Il est à peu près impossible de revenir en arrière
– Rapport• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
![Page 27: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/27.jpg)
Activités relatives aux données d'audit avec Windows 7 – Global Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier– Système de fichiers– Base de registre
WinWord
Noyau
NTFS
Ouvrir Document
Ouvrir fichier
Access Control
SecurityDescriptor
Audit Module
Journal d’évènement sécurité
Contexte utilisateur et objet
DACL
SACL
Politique d’auditSACL ressource
SACL système de fichiers
![Page 28: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/28.jpg)
Activités relatives aux données d'audit avec Windows 7 – Global
Access Object Auditing• On ne peut passer outre sur des objets individuels– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du groupe administrateur sur les serveurs disposant d’informations financières »
![Page 29: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/29.jpg)
Activités relatives aux données d'audit avec Windows 7 – Raison pour accéder
WinWord
Noyau
NTFS
Ouvrir Document
Ouvrir fichier
Access ControlSecurity
Descriptor
Audit Module
Journal d’évènement sécurité
Contexte utilisateur et objet
DACL
SACL
Politique d’audit SACL ressource
SACL système de fichiers
Raison d’accès
• Pierre a mis à jour jan2009_sales.xls– Comment en a-t-il obtenu la permission ???
![Page 30: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/30.jpg)
Activités relatives aux données d'audit avec Windows 7 – Raison pour accéder
A handle to an object was requested.
Subject:Security ID: CONTOSO-DEMO\PierreAccount Name: PeteAccount Domain: CONTOSO-DEMOLogon ID: 0x352af
Object:Object Server: SecurityObject Type: FileObject Name: C:\Sales\jan2009_sales.xlsHandle ID: 0x120
Process Information:Process ID: 0x1a7cProcess Name: C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
Access Request Information:Transaction ID: {00000000-0000-0000-0000-000000000000}Accesses: READ_CONTROL
SYNCHRONIZEReadData (or ListDirectory)WriteData (or AddFile)AppendData (or AddSubdirectory or CreatePipeInstance)ReadEAWriteEAReadAttributesWriteAttributes
Access Reasons: READ_CONTROL: Granted by OwnershipSYNCHRONIZE: Granted by D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)ReadData (or ListDirectory): Granted by D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)WriteData (or AddFile): Granted by D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)AppendData (or AddSubdirectory or CreatePipeInstance): Granted by D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)ReadEA: Granted by D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)WriteEA: Granted by D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)ReadAttributes: Granted by D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)WriteAttributes: Granted by D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Requête d’accès dans un événement Open Handle avant Windows 7
Raisons d’accès événement Open Handle Windows 7
![Page 31: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/31.jpg)
Sécurité réseau DirectAccessTM
Assurer que seules les machines en « bonne santé » peuvent accéder aux données de l’entreprise
Permettre aux machines « en mauvaise santé » de se « réparer » avant d’avoir accès
Network Access Protection
Connexion sécurisée, sans couture et toujours disponible au réseau d’entreprise
Amélioration de la gestion des utilisateurs distants
Sécurité cohérente pour tous les scénarios d’accès
Sécuriser les accès depuis n’importe où
Segmentation du réseau fondée sur des politiques pour des réseaux plus sécurisés et isolés logiquement
Différents profils de pare-feu actifs
Support de DNSSEC
![Page 32: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/32.jpg)
Audit de l’Accès Global aux Fichiers
• Audit de l’Accès GlobalPossibilité de déterminer quels sont les fichiers consultés par un groupe d’utilisateurs sur l’ensemble du SI.
Amélioration de l’auditing
![Page 33: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/33.jpg)
DEMONSTRATION
![Page 34: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/34.jpg)
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows• Configuration destinée à l’utilisateur final• Permet une gestion facile
Profils des emplacements réseau et du pare-feu• Public : Hot Spots publics tels que les aéroports ou les cafés• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison• Domaine : Détecté automatiquement
![Page 35: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/35.jpg)
• Seul un profil est actif à un instant donné
• Plusieurs réseaux : le profil le plus sécurisé est appliqué (le plus restrictif)
Plusieurs profils de pare-feu actifs
•Plusieurs profils actifs en même temps
Paneau de contrôle pare-feu VistaPanneau de contrôle pare-feu Windows 7
![Page 36: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/36.jpg)
En résumé
• Vista : Un seul profil de pare-feu actif– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs– Règles obligatoires en fonction des emplacements réseau respectifs– Résout les difficultés de déploiement lors de scénario VPN
![Page 37: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/37.jpg)
Amélioration quand on est connecté à un seul ou à pluisieurs réseauxL’IHM ne liste que les paramétrages du profil courant
Vista : Page des programmes autorisés Windows 7 : Page des programmes autorisés
![Page 38: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/38.jpg)
Vista : Paramétrage du pare-feuWindows 7 : Paramétrage du pare-feu
![Page 39: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/39.jpg)
Windows 7 :
L’utilisateur peut autoriser les programmes pour tous les réseaux et éviter ainsi les demandes de consentement
Vista :
Seul le profil courant est affiché
Notification applicative
![Page 40: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/40.jpg)
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du paramétragepar défaut
Troubleshooting
Windows 7 : Liens additionnels
![Page 41: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/41.jpg)
Windows Firewall with Advanced Security (WFAS)
• Accédé à travers– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :– En local– Ordinateurs distants– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu• Supporte des règles granulaires (en entrée et en sortie)
![Page 42: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/42.jpg)
Règles du pare-feu – ordre de précédance
• Evitement authentifié• Bloquer• Autoriser• Action par défaut
• Action par défaut en entrant – bloque pour tous les profils
• Action par défaut en sortant – autorisé pour tous les profils
Ordre d’évaluation
![Page 43: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/43.jpg)
Page d'accueil WFAS– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)– Affiche quels profils et leurs réseaux associés sont actifs
![Page 44: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/44.jpg)
Filtrage sortant WFAS – Peut être mis en service
![Page 45: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/45.jpg)
Support WFAS pour les exceptions utilisateur et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des ordinateurs (et les security principals) aux applications à travers les règles du pare-feu
![Page 46: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/46.jpg)
Configuration WFAS pour les plages de ports
• Maintenant support des plages de ports dans les règles du pare-feu• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
![Page 47: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/47.jpg)
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles actives à n’importe quel instant
![Page 48: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/48.jpg)
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des portions du pare-feu Windows– Politique du pare-feu– Politique IPsec– Politique au moment de l’amorçage– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
![Page 49: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/49.jpg)
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services LogsMicrosoftWindowsWindows Firewall with Advanced Security FirewallSécurité des connexions : Open event viewer Applications and Services LogsMicrosoftWindowsWindows Firewall with Advanced Security ConectionSecurity
![Page 50: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/50.jpg)
Au-delà des Frontières de l’Entreprise
• Sécurité Réseau• NAP• Direct Access
![Page 51: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/51.jpg)
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible au sein de Windows 7 et Windows Server 2008 R2– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance– Facilite une communication et une collaboration sécurisée, de bout en bout– Tire parti d’une approche d’accès au réseau fondée sur des politiques– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
![Page 52: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/52.jpg)
Serveur de prévention des DoS(Futur : UAG)
Client conforme
Client conforme
IPsec/IPv6
Data Center et ressources critiques
Serveurs NAP / NPS
Internet
Utilisateur ENTREPRISE
Réseau ENTREPRISE conforme
Utilisateur ENTREPRISE
IPsec/IPv6
IPsec/IPv6
Présuppose que le réseau sous-jacent est toujours non sécurisé
Redéfinit la frontière du réseau ENTREPRISE pour isoler les Datacenter et les ressources métier critiques
Direct Access
Tunnel au-dessus de IPv4 UDP, TLS, etc.
![Page 53: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/53.jpg)
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Accès permanent au réseau de l’entreprise alors qu’on est en déplacementPas d’action explicite de l’utilisateur – « it just works »Même expérience utilisateur au sein des murs de l’entreprise et en dehors
Gestion à distance simplifiée des ressources mobiles comme si elles étaient sur le LANMeilleurs coûts de possession total (TCO) avec une infrastructure « toujours gérée »Accès sécurisé unifié pour tous les scénarios et tous les réseauxAdministration intégrée de tous les mécanismes de connexion
Plus de productivité Plus de sécurité Plus facile à gérer à meilleur coût
Terminal en bonne santé et digne de confiance quel que soit le réseauContrôle à « grain fin » des politiques par application et serveursPolitique de contrôle plus riche et proche du terminal à gérerPossibilité d’étendre la conformité réglementaire aux PC en mouvement permanentChemin de déploiement incrémental vers IPv6
![Page 54: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/54.jpg)
AppLockerTM Récupération des données
Protège les utilisateurs contre l’ingénierie sociale et les attaques de la vie privés
Protèges les utilisateurs contre les exploits navigateurs
Protège les utilisateurs contre les exploits serveur
Internet Explorer 8
Sauvegarde et restauration de fichiersSauvegarde image CompletePC™Restauration systèmeCopies miroirs de volumesRetour en arrière sur volume
Protéger les utilisateur et l’infrastructure
Permet la standardisation des applications au sein de l’entreprise sans augmenter le TCO
Améliore la sécurité pour protéger contre les pertes de données et de vie privée
Supporte la mise en vigueur de la conformité
![Page 55: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/55.jpg)
Application Locker
Élimination des applications inconnues/indésirables du réseauRenforce la standardisation des applications dans toute l'entrepriseCréation et administration simples de règles via la stratégie de groupe
![Page 56: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/56.jpg)
DEMONSTRATION
![Page 57: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/57.jpg)
Protéger des données des utilisateurs non autorisés
• RMS• EFS• Bitlocker
![Page 58: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/58.jpg)
Bitlocker
• Vista– Cryptage d’un volume
• Vista SP1– Cryptage de plusieurs volumes
• Seven– Cryptage de plusieurs volumes– Cryptage de supports amovibles– « BitLocker to Go »
+Protection des données sur les disques internes et amoviblesObligation du chiffrement via les stratégies de groupeStockage des informations de récupération dans Active DirectorySimplification de la mise en œuvre de BitLocker et de la configuration du disque dur principal
![Page 59: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/59.jpg)
DEMONSTRATION
![Page 60: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/60.jpg)
Gestion du Poste de Travail
• Intégration avec Windows Server 2008• Le PowerShell• Journaux• PSR – Enregistrement d’Actions Utilisateurs
![Page 61: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/61.jpg)
DEMONSTRATION
Intégration avec Windows Server 2008
![Page 62: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/62.jpg)
DEMONSTRATION
Le PowerShell
![Page 63: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/63.jpg)
DEMONSTRATION
Les Outils de Diagnostic
![Page 64: Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU](https://reader038.vdocuments.mx/reader038/viewer/2022102716/551d9da1497959293b8d08cd/html5/thumbnails/64.jpg)
DEMONSTRATION
Le Support